Luka w AVG Secure Search odkryta przez CERT

12 lipca, 2014

Mamy złe wiadomości dla fanów marki AVG Technologies. Jak informuje amerykański zespół CERT z Carnegie Mellon University, paski narzędziowe AVG Secure Search w AVG Safeguard Toolbar w wersji 18.1.7.643 i starszej, zawierają podatność oznaczoną nomenklaturą CVE-2014-2956. Lukę odkrył i opisał Will Dormann 7 lipca. Na czas wydania łatki sytuacja nie wydawała się ciekawa dla samego AVG, który uszczerbił wizerunek swojej marki, oraz samych użytkowników korzystających z paska AVG Secure Search i AVG Safeguard.

Oba narzędzia zawierają kontrolki ActiveX, które instalują się w Internet Explorer. Służą do przekazywania różnych informacji pomiędzy komponentami systemowymi, a zawarta w nich luka powodowała udostępnianie poufnych funkcjonalności stron www , które okazały się na tyle niebezpieczne, że mogły umożliwić nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu z uprawnieniami użytkownika. 

Włamywacze często korzystają z luk w zabezpieczeniach formantów ActiveX. Programowy lub projektowy błąd w kontrolce ActiveX może pozwolić atakującemu na wykonanie dowolnego kodu, nakłaniając użytkownika do wyświetlenia specjalnie spreparowanej strony WWW. 

Luka została załatana dla wersji 18.1.7.644, jednak darmowe narzędzie AVG Secure Search do pobrania ze strony avg.com/secure-search nadal jest w wersji 18.1.8.643, czyli zawiera lukę. Aby mieć 100% pewność, że nie posiadasz nieaktualnego paska narzędziowego, sprawdź swoją wersję AVG SecureGuard. 

avg 0
Narzędzie pobrane ze strony producenta 12 lipca nadal jest w starej wersji

Tak więc na dzień dzisiejszy jedyne rozwiązanie tego problemu to wyłączenie pluginów lub całkowita deinstalacja AVG Safeguard Toolbar.

avg toolbar

Aby pomóc wszystkim użytkownikom, zespół CERT opracował specjalne narzędzie o nazwie Dranzer, które automatycznie pozwala na zbadanie skutecznych metod zabezpieczeń ActiveX. Dranzer jest projektem open source, czyli każdy kto zechce może pomóc w procesie rozwoju aplikacji: http://sourceforge.net/projects/dranzer Po instalacji wystarczy zapoznać się z dokumentacją techniczną. Domyślnie jest to ścieżka: C:\Program Files\Dranzer\userguide.html

źródło: CERT USA

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]