Un ingénieur de Google trouve des failles de sécurité dans trois navigateurs « sécurisés » de fabricants d'antivirus

Table des matières

• Un ingénieur de Google et chasseur de bugs en série trouve des failles dans Avastium, Chromodo et le navigateur anti-malware de Malwarebytes
• AVAST
• Comodo
• Navigateur anti-malware de Malwarebytes

Un ingénieur de Google et chasseur de bugs en série trouve des failles dans Avastium, Chromodo et le navigateur anti-malware de Malwarebytes

Le chasseur de bugs en série, Tavis Ormandy, est de retour à son meilleur. Après avoir exposé des bugs et des vulnérabilités dans les produits Trend Micro et AVG, Ormandy a maintenant trouvé trois problèmes dans les logiciels proposés par les entreprises de sécurité Avast, Comodo et Malwarebytes. Selon Ormandy, tous les bugs sont différents et peuvent permettre à un hacker potentiel d’accéder à l’ordinateur des victimes via les trois navigateurs « sécurisés » proposés par ces fabricants d’antivirus, regroupés avec leurs logiciels.

AVAST

Lors de ses recherches, Ormandy a découvert que le navigateur Avastium d’Avast, qui est un fork de Google Chromium, permettait à un attaquant potentiel de « lire n’importe quel fichier sur le système de fichiers en cliquant sur un lien. » Ormandy affirme que l’exploitation implique l’utilisation d’une page web JavaScript spécialement conçue qui pourrait contourner les vérifications intégrées et potentiellement permettre à un tiers malveillant de lire des cookies et des e-mails.

Ormandy a déclaré qu’il avait informé Avast le 8 décembre, mais qu’Avast n’a publié une version corrigée de son navigateur Avastium que le 3 février.

Comodo

Lorsque les utilisateurs installent la suite logicielle Comodo, elle remplace l’installation du navigateur Chrome de l’utilisateur par le propre navigateur de Comodo appelé Chromodo. Ormandy déclare que lorsque Chromodo est installé, « tous les raccourcis sont remplacés par des liens Chromodo et tous les paramètres, cookies, etc. sont importés de Chrome. Ils détournent également les paramètres DNS, parmi d’autres pratiques douteuses, » note Ormandy.

Alors que Chrome applique une politique de même origine, qui garantit que seuls les scripts du même site peuvent accéder les uns aux autres, Chromodo a désactivé cette protection et a laissé les utilisateurs exposés à des sites web chargés de logiciels malveillants qui pourraient espionner leurs données privées.

Comodo a déclaré que la faute ne se trouvait pas dans le navigateur mais dans un module complémentaire. Le directeur de Comodo, Charles Zinkowski, a déclaré à eWeek que la société avait publié une nouvelle version du navigateur sans le module complémentaire le 3 février, ce qui a corrigé le problème pour tous les utilisateurs.

Navigateur anti-malware de Malwarebytes

Dans le cas de Malwarebytes, Ormandy a découvert que son navigateur Anti-Malware ne téléchargeait pas les mises à jour de manière sécurisée, ce qui pourrait laisser les utilisateurs exposés à une attaque de type homme du milieu. Un attaquant pourrait imiter les vérifications intégrées de l’entreprise et exécuter son propre code sur la machine d’un utilisateur.

Le PDG de Malwarebytes, Marcin Kleczynsk, a déclaré dans un article de blog qu’ils reconnaissaient les bugs découverts par Ormandy et qu’ils étaient en phase de test pour le correctif. Le correctif devrait être publié dans trois à quatre semaines, indique le blog.

Si vous avez l’un des navigateurs ci-dessus installés sur votre PC/portable, assurez-vous soit d’installer la dernière version ou le correctif, soit d’utiliser un autre navigateur jusqu’à ce que l’entreprise publie un correctif comme dans le cas de Malwarebytes.