آسیب پذیری در نوار ابزار امنیتی AVG

این مشکل باعث می شود تا اگر کاربری که از نسخه آسیب پذیر این نوار ابزار استفاده می کند یک صفحه HTML دستکاری شده خاص، یک پیام متنی یا یک فایل پیوست را در IE باز کند، مهاجم بتواند کدی مخرب را بر روی سیستم آن اجرا کند.

مشکلات پیاده سازی در AVG Secure Search، یک نوار ابزار مرورگر از شرکت آنتی ویروس AVG که کاربران را در برابر وب سایت های مخرب حفاظت می کند، می تواند به مهاجمان راه دور اجازه دهد تا کدی مخرب را بر روی سیستم اجرا نمایند.

تکنازدانلود: این نوار ابزار که با نام AVG SafeGuard شناخته می شود، مرورگرهای گوگل کروم، IE و موزیلا فایرفاکس را بر روی ویندوز XP و نسخه های بالاتر از آن پشتیبانی می کند و اغلب به صورت یک برنامه اختیاری همزمان با برنامه های نرم افزاری رایگان محبوب نصب می شود.

با توجه به یافته های مرکز CERT دانشگاه کارنگی ملون، نسخه ۱۸٫۱٫۶ و نسخه های بالاتر برنامه های AVG Secure Search و AVG SafeGuard کنترل ActiveXای با نام ScriptHelperApi بر روی IE نصب می کنند که می تواند منجر به افشای عملیات حساس وب سایت ها شود.

این مشکل باعث می شود تا اگر کاربری که از نسخه آسیب پذیر این نوار ابزار استفاده می کند یک صفحه HTML دستکاری شده خاص، یک پیام متنی یا یک فایل پیوست را در IE باز کند، مهاجم بتواند کدی مخرب را بر روی سیستم آن اجرا کند. کد تقلبی می تواند با حق دسترسی کاربر لاگین شده اجرا شود.

 شرکت AVG این مشکل را در AVG Secure Search نسخه ۱۸٫۱٫۷٫۵۹۸ و AVG Safeguard نسخه ۱۸٫۱٫۷٫۶۴۴ اصلاح کرده است. مشخص نیست که این نوار ابزار می تواند به صورت خودکار به روز رسانی شود در نتیجه کاربران باید اطمینان حاصل کنند که از آخرین نسخه آن استفاده می کنند.

یک محقق امنیتی اظهار داشت: نصب برنامه هایی مانند اوراکل جاوا یا ادوب فلش ممکن است باعث نصب ناخواسته برخی از نرم افزارها مانند نوار ابزارهای مرورگر شود. کاربران باید نسبت به این قضیه هوشیار باشند و در هنگام مراحل نصب دقت نمایند تا اینگونه برنامه های جانبی بر روی سیستم نصب نشود.