AVG sorgt für unsicheren Chrome-Browser

Mittwoch, 30. Dez. 2015 10:25 - [ar] - Quelle: engadget.com

Wer die Chrome-Erweiterung von AVG Web TuneUp installiert, setzt sich einem erhöhten Sicherheitsrisiko aus.

Der Sicherheitsexperte Tavis Ormandy hat eine Schwachstelle in der Chrome-Erweiterung Web TuneUp von AVG entdeckt, welche mit dem Antivirus-Programm des Unternehmens ausgeliefert wird. Über die Sicherheitslücke sollen Man-in-the-Middle-Attacken oder sogar Remotecodeausführungen möglich sein. In dem Bug-Report kritisiert Ormandy, dass AVG dem Browser viele JavaScript-APIs hinzufügt um Sucheinstellungen in der "neuen Tab-Seite" ausführen zu können.

Über den speziellen Installationsprozess hebelt AVG die Malware-Überprüfung des Chrome-Browsers einfach aus. Die Schwachstelle entsteht durch die fehlerhaften APIs, welche den Diebstahl von Cookies erlauben, den Suchlauf durchforsten und sogar auf persönliche Daten über das Internet zugreifen.

Ormandy lässt AVG nun 90 Tage Zeit einen Patch für die Sicherheitslöcher bereitzustellen. Nach Ablauf der Frist, werden gleich mehrere Exploit-Scripts von dem Sicherheitsexperten für die Ausnutzung der Schwachstellen veröffentlicht.

AVG hat bereits reagiert und eine bereinigte Version des Programms im Web-Store von Google hinterlegt. Allerdings steht eine Prüfung ob das Plugin die Richtlinien von Google bei der Installationroutine verletzt noch aus.

Insgesamt soll die Erweiterung AVG Web TuneUp auf rund neun Millionen Geräten installiert worden sein.

(Bild: AVG Web TuneUp im Chrome-Store)