聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

捷克反病毒厂商 Avast 禁用了其反病毒产品中的一个重要组件,原因是安全研究人员在其中发现了一个可导致所有公司用户受风险的危险漏洞。

该安全缺陷存在于 Avast 的 JavaScript 引擎中,该引擎是 Avast 反病毒产品的内部组件,用于分析 JavaScript 代码中是否存在恶意软件,以确定是否允许它在浏览器或邮件客户端中执行。

谷歌公司的安全研究员 Tavis Ormandy 表示,“尽管是高权限且从设计上来讲处理不可信的输入,但它并未被沙箱化且缓解覆盖范围不良。该进程中的任何漏洞都是严重级别,而且可被远程攻击者轻易访问。”另外,该研究员还发布了用于分析该公司杀毒引擎的工具 (https://github.com/taviso/avscript)。

易于被利用

利用这种类型的漏洞易如反掌。攻击者需要做的不过是通过邮件发送恶意 JS 或 WSH 文件,或者诱骗用户访问内含恶意 JavaScript 代码的陷阱文件。

Ormandy 表示一旦 Avast 反病毒产品下载并在定制化引擎中执行恶意 JavaScript 代码,攻击者就能够以系统级别的访问权限在用户计算机上执行恶意操作。例如攻击者可使用该缺陷在 Avast 用户设备上安装恶意软件。

上周已知晓

虽然 Avast 已在上周就知晓此事,但尚未修复该问题,不过在今天早些时候,Avast 决定在补丁发布前先禁用 JavaScript 扫描能力。

Avast 发布如下声明解释了为何采取这种极端措施:

上周三(3月4日),谷歌漏洞安全研究员 Tavis Ormandy 向我们报告了影响其中一个仿真器的漏洞。该漏洞可能已被滥用于执行远程代码。

3月9日,他发布了一款工具,极大地简化了仿真器中的漏洞分析过程。

我们已经禁用该仿真器以修复该漏洞,确保数亿用户免受攻击。这样做不会影响基于多个安全层的反病毒产品的功能。

目前尚不清楚补丁何时发布。

Ormandy 通过他在2017年开发的一款工具发现了这个漏洞,该工具使其能够将 Windows DLL 文件移植到 Linux 中,从而更加容易地执行自动化模糊测试和其它安全测试。

推荐阅读

今日安全| Avast 再遭攻击;自动化巨头 Pilz一周后仍未战胜勒索攻击;俄黑客被指借壳伊朗黑客基础设施......

Intel 警告注意 CSME 引擎中的严重漏洞,发布产品停产通知

原文链接

https://www.zdnet.com/article/avast-disables-javascript-engine-in-its-antivirus-following-major-bug/

题图:Pixabay License

文内图:ZDNet

本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”,一起玩耍

因被曝严重漏洞,Avast紧急禁用其 JavaScript 引擎相关推荐

  1. 曝出漏洞、企业禁用、紧急声明:Zoom 一周里经历了什么?

    点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 内容概述:新冠肺炎疫情爆发以来,视频会议软件获得了飞速增长,其中 Zoom 更是以出色 ...

  2. 邮件裸奔,两大加密协议 PGP 与 S/MIME 被曝明文漏洞;DeepMind AI 能让自己拥有像哺乳动物那样的导航能力...

    (点击上方蓝字,快速关注我们) 转自:开源中国.solidot.cnBeta.腾讯科技等 0.邮件裸奔,两大加密协议 PGP 与 S/MIME 被曝明文漏洞 据外媒报道,一位研究人员周日表示,目前互联 ...

  3. 7月第1周风控关注 微信支付SDK曝XXE漏洞 可伪造订单

    ​易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险. 1.微信支付SDK被曝XXE漏 ...

  4. 英特尔处理器被曝重大漏洞 微软苹果等将推送补丁 | 全球数据中心收购交易量在2017年创下历史新高

    每一个企业级的人  都置顶了 中国软件网 中国软件网  为你带来最新鲜的行业干货 小编点评 英特尔漏洞一出 中国所有的公有云厂商都在发安全警告 中国芯是时候上位了 趋势洞察 杨元庆:我更愿将AI翻译成 ...

  5. 百度在美国遭集体起诉;iPhone 11 成苹果最畅销机型;OpenSSL 曝高危漏洞 | 极客头条...

    整理 | 屠敏 头图 | CSDN 下载自东方 IC 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦 ...

  6. iPhone11因便宜销量超预期;三星手机曝高危漏洞;xUtils 3.8.3发布 | 极客头条

    快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...

  7. SonicWall 防火墙曝严重漏洞,有些设备仍无补丁

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全硬件厂商 SonicWall 修复了位于 SonicOS 安全操作系统中的一个严重漏洞,可导致拒绝服务攻击以及远程代码执行 (RCE).该漏 ...

  8. 下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 最近,热门的开源NPM 包 serialize-javascript 中被指存在一个漏洞,可使攻击者执行远程代码. Serialize ...

  9. BlueStacks被曝巨大漏洞,Android模拟器可被远程控制

    不久前,BlueStacks安卓模拟器出现了一个漏洞,导致攻击者可以执行远程代码.信息公开,并窃取VM及其数据的备份.而这个漏洞在5月底已经被修复. 据悉:在BlueStacks v4.90.0.10 ...

最新文章

  1. 测试录制的电话拨码声音信号在发送过程中的问题
  2. Service order save debug for distribution lock set logic
  3. SQL语句:从一个表里按年份统计条目数
  4. Angr Unsat_corn 使用之坑
  5. 新疆师范大学计算机科学学院,新疆师范大学王炜教授亲临计科学院讲学——记计算机科学学院研究生院...
  6. hibernate 各历史版本下载
  7. winpe 能否修复服务器系统盘,U盘WINPE、光盘WINPE系统(启动修复盘)制作图文教程...
  8. 《强化学习周刊》第3期:深度强化学习如何提升鲁棒性和性能
  9. 解析人类的四次工业革命
  10. 什么是编程?该怎么学习编程?
  11. 训练集、验证集、测试集的作用和意义
  12. 清风数学建模——插值算法
  13. 路漫漫其修远兮,吾将上下而求索——小酌重构系列[0]开篇有益
  14. 电信联通上海分别启用181与185号段
  15. 烤仔的朋友们丨现有的食品溯源系统能够保护“西城大爷”吗?
  16. 学校信息管理系统数据库模型设计
  17. 方法和数组 - 打好基础很重要
  18. 如何选择股市短线黑马
  19. 华彬集团董事长严彬助力精准扶贫
  20. 11、ByteBuffer(分散读集中写)

热门文章

  1. 容器中运行Fabric区块链网络
  2. 顶级MySQL主从复制企业应用
  3. Gradle笔记——构建基础
  4. 给Eclipse插件的View加上菜单和工具条
  5. c语言宏定义数组_利用数组处理批量数据 C语言程序编写定义与利用数组技巧全归纳...
  6. 通过 Android SDK Manager 安装面向 Android* 模拟器插件的英特尔® 凌动™ x86 系统映像...
  7. serialable 和 parcelable详解
  8. C# 解析JSON格式数据
  9. Irrlicht例002--Quake3Map
  10. CentOS下使用SVN实现多项目管理配置方案