Новости Software

После обнаружения серьёзной уязвимости Avast отключила движок JavaScript в своём антивирусе

Специалисты Avast, работающей в сфере информационной безопасности, были вынуждены отключить один из основных компонентов своего антивирусного решения после того, как в нём была выявлена уязвимость, подвергающая опасности всех клиентов компании.

Уязвимость была обнаружена в движке JavaScript, который представляет собой внутренний компонент антивируса Avast и используется для анализа кода JavaScript на предмет присутствия вредоносных элементов. Анализ осуществляется до того, как код выполняется в браузере или потоковом клиенте.

«Несмотря на то, что JavaScript-движок имеет высокие привилегии и обрабатывает входящие данные, он не защищён песочницей. Любые уязвимости в этом процессе являются критическими и легко доступны для находящихся удалённо злоумышленников», — заявил исследователь Тэвис Орманди (Tavis Ormandy), работающий в сфере информационной безопасности.

В отчёте отмечается, что эксплуатировать найденную уязвимость достаточно просто. Для этого нужно отправить пользователю вредоносный файл JavaScript или WSH. Кроме того, можно каким-то иным способом заставить жертву открыть файл с вредоносным JavaScript-кодом. Исследователь говорит о том, что, как только антивирус Avast загрузит и запустит JavaScript-код в своём движке, вредоносные операции могут выполняться на компьютере жертвы с повышенными привилегиями. Помимо прочего, рассматриваемая уязвимость может использоваться злоумышленниками для загрузки вредоносного программного обеспечения на устройства клиентов Avast.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Законодатели США дали Amazon «последний шанс», чтобы рассказать правду о своей антиконкурентной практике 41 мин.
Grasshopper не потеряла права на Shadows of the Damned и может заняться развитием серии в будущем 2 ч.
Количество читеров в Valorant снизилось до минимума за всё время существования игры 3 ч.
«Это не простой порт и не мод»: в Green Hell VR придётся «вручную» собирать ресурсы, перевязывать раны и сражаться 3 ч.
Вингсьют стал главной звездой нового геймплейного ролика перезапуска Saints Row 3 ч.
Продажи ролевого экшена Monster Hunter: World превысили 20 миллионов копий 4 ч.
Эксперты Sophos: мошенники выманивали у владельцев iPhone биткоины с помощью приложений для знакомств 4 ч.
Разработчики Elden Ring поделились подробностями закрытого тестирования 4 ч.
В России планируется внедрение автоматизированной системы борьбы с телефонными и интернет-мошенниками 5 ч.
Первый эпизод сериала «Аркейн» по мотивам League of Legends откроют для совместной трансляции на Twitch 6 ч.