shiver
31/12/2015, 13h59
Une extension pour le navigateur Chrome proposée par le spécialiste de la sécurité AVG présentait plusieurs vulnérabilités.
Tavis Ormandy, chercheur en sécurité au sein de l'équipe Google Projet Zero, explique (https://code.google.com/p/google-security-research/issues/detail?id=675) que lorsqu'un utilisateur installe la solution antivirus d'AVG, cela entraîne le téléchargement forcé de l'extension AVG Web TuneUp au sein du navigateur Chrome. En juger par les chiffres du Chrome Web Store, celle-ci disposerait d'une base de quelque 9 millions d'utilisateurs.
Or cette extension embarque des interfaces de programmation de Chrome lui permettant, le cas échéant de modifier les paramètres de recherche ou de la page par défaut à l'ouverture d'un nouvel onglet. M. Ormandy ajoute : « le processus d'installation est tellement compliqué qu'il passe outre le dispositif de détection de malware de Chrome, lequel tente précisément de stopper les abus liés à l'usage de ses API ».
Mais le chercheur précise que l'usage de ces API par AVG pose plusieurs problèmes de vulnérabilité pouvant facilement révéler « l'historique de navigation et d'autres données personnelles ».
http://img.clubic.com/08295396-photo-avg-ban.jpg (http://img.clubic.com/08295396-photo-avg-ban.jpg)
Dans une mise à jour publiée la semaine dernière, AVG a corrigé le problème mais également bloquer le dispositif d'installation forcée. Désormais les utilisateurs devront donc se rendre directement sur le Chrome Web Store pour récupérer AVG Web TuneUp (https://chrome.google.com/webstore/detail/avg-web-tuneup/chfdnecihphmhljaaejmgoiahnihplgn).
Tavis Ormandy, chercheur en sécurité au sein de l'équipe Google Projet Zero, explique (https://code.google.com/p/google-security-research/issues/detail?id=675) que lorsqu'un utilisateur installe la solution antivirus d'AVG, cela entraîne le téléchargement forcé de l'extension AVG Web TuneUp au sein du navigateur Chrome. En juger par les chiffres du Chrome Web Store, celle-ci disposerait d'une base de quelque 9 millions d'utilisateurs.
Or cette extension embarque des interfaces de programmation de Chrome lui permettant, le cas échéant de modifier les paramètres de recherche ou de la page par défaut à l'ouverture d'un nouvel onglet. M. Ormandy ajoute : « le processus d'installation est tellement compliqué qu'il passe outre le dispositif de détection de malware de Chrome, lequel tente précisément de stopper les abus liés à l'usage de ses API ».
Mais le chercheur précise que l'usage de ces API par AVG pose plusieurs problèmes de vulnérabilité pouvant facilement révéler « l'historique de navigation et d'autres données personnelles ».
http://img.clubic.com/08295396-photo-avg-ban.jpg (http://img.clubic.com/08295396-photo-avg-ban.jpg)
Dans une mise à jour publiée la semaine dernière, AVG a corrigé le problème mais également bloquer le dispositif d'installation forcée. Désormais les utilisateurs devront donc se rendre directement sur le Chrome Web Store pour récupérer AVG Web TuneUp (https://chrome.google.com/webstore/detail/avg-web-tuneup/chfdnecihphmhljaaejmgoiahnihplgn).