Наша взаимовыгодная связь https://banwar.org/
Минулого тижня співробітник Google Project Zero Тевіс Орманді (Tavis Ormandy) вже піддав жорсткій критиці захищений браузер Chromodo, який компанія Comodo поставляє разом зі своєю антивірусної продукцією. Тепер прийшла черга браузера Avast SafeZone, також відомого як Avastium.
Avastrum
Схоже, Орманді вирішив всерйоз пройтися по безпеки браузерів. Як показують результати його досліджень: не дарма. Власний форк Chromium, створений компанією Avast, виявився навіть гірше , Ніж Chromodo, відключати Same Origin Policy.
Avastium пропонується платним користувачам антивіруса Avast Antivirus 2016, але він навряд чи може запропонувати їм додатковий захист. Експерт встановив, що зловмисник може успішно витягти з браузера історію, паролі та іншу конфіденційну інформацію, яку зберігає додаток.
Основна проблема полягає в тому, що користувачеві не обов'язково працювати з браузером: атаку можна здійснити на комп'ютер, на якому Avastium просто встановлений. Справа в тому, що зловмисник може передати шкідливу команду RPC endpoint, яка залишена в коді браузера відкритою. Команда може бути частиною шкідливого коду JavaScript, який може виконуватися на машині жертви локально. Це дозволить дістатися до відкритої RPC endpoint, навіть якщо сам Avastium не був запущений, а шкідливе посилання відкрили в іншому додатку.
And yet another case of forking Chromium for "security" because of your virus expertise. Seriously, you're going to screw it up.
- Tavis Ormandy (@taviso) February 3, 2016
Виявляється, розробники Avast серйозно попорпалися в коді Chromium. Зокрема, Chromium дозволяє відкривати через командний рядок тільки WebSafe URL, тобто посилання, що починаються з http, https, javascript і так далі. У Avastium цим чомусь вирішили поступитися, браузер допускає також відкриття посилань, що починаються з «file: //», а це величезна проблема.
Для продовження атаки зловмисникові навіть не знадобиться додаткова малваре: браузер Avast зберігає всі дані у відкритому вигляді, так що головне - знати, що у жертви встановлений Avastium.
«Хоча атака проводиться саме на Avastium, жертва не зобов'язана його використовувати, ні в момент атаки, ні в цілому. Справа в тому, що ваш профіль автоматично імпортується з Chrome, ще при установці Avastium », - пише Орманді.
Дослідник додає, що SafeZone «запозичує» дані Chrome про закладках, настройках, куки і паролі автоматично, не повідомляючи про це користувача.
Експерт пояснює, що, фактично, зловмисник здатний отримати доступ до файлової системи жертви, якщо та просто клацне по шкідливої посиланням. Чи не знадобиться навіть знати точне розташування конкретних файлів, тому як за допомогою даної атаки можна також отримати і перелік файлів каталогу.
Плюс до всього, зловмисник може послати жертві довільний авторизований HTTP-запит, що дозволить йому дістатися до куки жертви, її пошти, дозволить взаємодіяти з онлайновим банкінгом і так далі.
Як наочний доказ дірявість Avastium Орманді створив proof-of-concept сторінку , Де можна перевірити браузер на вразливість.
Фахівці Avast вже випустили Avast 2016 build 2016.11.1.2253 , Що виправляє знайдені експертом проблеми.
Steam
Починанням Орманді надихнувся інший дослідник, теж вирішив перевірити безпеку браузерів. Він почав з браузера, вбудованого в офіційний клієнт Steam. Це ще один форк Chromium, проблем у якого виявилося нітрохи не менше, ніж у його «захищених» колег по ринку.
Користувач GitHub під ніком ekaris пише , Що в клієнті Steam ви використовуєте старий Chromium: тоді як новітній реліз - v50, Steam використовує v47. Хоча можна помітити, що повідомлення було опубліковано на сторінці «Steam Client for Linux», аналогічна проблема спостерігається у клієнтів для Windows і Mac. Як не важко здогадатися, застаріла версія означає незакриті уразливості.
Крім того, ekaris виявив , Що браузер Steam працює з відключеною пісочницею. За замовчуванням ця міра захисту користувачів в Chromium активована, але розробники Valve для чогось її відключили.
Хоча ekaris вже повідомив про проблеми Valve, патча поки немає, тому користувачам Steam рекомендується використовувати вбудований в клієнт браузер з подвоєною обережністю.
фото:
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
