Avast исправил уязвимость в Safezone после предупреждений от Google

Браузер SafeZone поставляется с линейкой антивирусных продуктов Avast 2016. В основе браузера лежит отдельная ветка Chromium под названием Avastium, которая является потомком платформы Google.

Исследователь Google Тэвис Орманди (Tavis Ormandy) предупредил, что SafeZone позволяет злоумышленникам получить доступ к истории просмотров, паролям и другим данным, сохраняемым в браузере.

Специалист Project Zero предоставил доказательства того, что злоумышленники могут взломать уязвимый браузер, даже если он не запущен.

Орманди сообщил: “Уязвимость позволяет злоумышленнику читать любой файл в файловой системе, просто нажав на ссылку.  Ему даже не нужно знать имя файла или путь, потому что можно запросить список каталогов в рамке атаки. Кроме того, злоумышленник может отправлять произвольные запросы аутентификации и читать ответы, получая содержимое куки, электронной почты и данные для интернет-банкинга”.

Орманди обнаружил дыру в безопасности еще в декабре, а на этой неделе она была публично раскрыта после выхода патча.

Avast пометила патч как “исправление безопасности” в списке изменений версии 11.1.2253 наряду с другими небольшими улучшениями.

Это второй браузер, об уязвимости которого сообщил Орманди на этой неделе. Ранее он предупредил о том, что Chromodo изменяет настройки DNS и дезактивирует службу same-origin, которая предотвращает потенциальные проблемы конфиденциальности.

Что еще хуже, Chromodo принудительно устанавливается в качестве браузера по умолчанию и вытаскивает данные из Chrome, что представляет угрозу безопасности.

Опытный хакер Джоксин Корет (Joxean Koret) также присоединился к мнению, что портированные антивирусными компаниями браузеры не должны вызывать доверие у пользователей, потому что все три исследуемые им платформы “были взломаны”.