研究人员发现基于Chromium的Avast SafeZone浏览器存在严重缺陷

该漏洞可能允许恶意网站读取Cookie,存储的密码和本地文件

Avast修复了此SafeZone浏览器中的一个严重漏洞

多家防病毒供应商采用了开源的Chromium浏览器,并创建了衍生产品,他们声称这种衍生产品对隐私更加友好且安全。但是,最近发现其中至少有两个存在严重的缺陷,这些缺陷在Chromium中不存在。

最新的示例是Avast SafeZone浏览器,内部称为Avastium,该浏览器与Avast的防病毒和安全套件的付费版本一起安装。 Google Project Zero研究人员Tavis Ormandy发现了一个漏洞,当在任何其他本地安装的浏览器中打开由攻击者控制的URL时,攻击者可以控制Avastium。

通过利用该漏洞,攻击者可以远程读取“文件,Cookie,密码和所有内容”,Ormandy在 一份报告 他在12月寄给Avast,并于周三公开。 “他甚至可以控制经过身份验证的会话,并阅读电子邮件,与在线银行进行交互等。”

Ormandy创建了一个基于Web的概念证明漏洞利用程序,可以列出计算机C:\驱动器的内容,但是攻击者可以轻松地对其进行扩展,以将任何可能有趣的文件发送回给他。

根据Google研究人员的说法,Avast在本地计算机上打开了可访问端口27275的Web可访问RPC服务。因此,在任何浏览器中打开的恶意网站都可以通过强制浏览器向http:// localhost发出请求来向该服务发送命令:27275 /命令。

While most of the available commands are not particularly dangerous, there is one called SWITCH_TO_SAFEZONE that can be used to open a URL in Avastium. And not just any URL like http:// or // ones, but also local or internal URL schemes like file:/// or chrome://.

这是因为出于某种原因,Avast删除了Ormandy所谓的“关键安全检查”,该检查可防止从命令行打开与Web无关的URL方案。原始Chromium中存在的这种保护功能在Avastium中不存在,这使得攻击者有可能最终构造一个可以读取本地文件的有效负载。

在Ormandy在12月18日报告该漏洞之后,Avast部署了一个临时修复程序,该修复程序破坏了攻击链。该公司周三提供了完整的修复程序,作为 Avast版本2016.11.1.2253.

奥曼迪本周还透露 Chromodo中的一个严重漏洞),这是另一种基于Chromium的浏览器,由安全公司Comodo分发,作为其Internet安全套件的一部分。该漏洞源于Chromodo禁用了最关键的浏览器安全机制之一,即 同源政策.

并非只有安全厂商Avast和Comodo才创建了基于Chromium的所谓“安全”浏览器,并随其产品一起发货。如果Ormandy继续对其进行调查,很有趣的是,他是否会发现此类浏览器中引入的严重缺陷的其他示例,而这些缺陷在Chromium中不存在。

安全研究员Joxean Koret过去曾发现防病毒产品中的漏洞,他建议Twitter上的人们不要使用防病毒供应商提供的浏览器。 “我已经分析过3.坏了,” 他说.

奥曼迪在接受采访时说:“销售杀毒软件并不能使您有能力使用铬,您将把它搞砸了。” Twitter消息 本周早些时候。

版权© 2016 IDG通讯,Inc.