Beveiligingsonderzoekers van Google hebben een mogelijke ontwerpfout ontdekt in de antivirussoftware van Avast die zou kunnen worden gebruikt om op afstand een pc te hacken.
Maandag, Google-onderzoeker Tavis Ormandy het probleem, dat zich bezighoudt met de antivirusengine van Avast "AvastSvc.exe".
Het programma is gebouwd om de niet-vertrouwde gegevens van uw computer in lokale bestanden en netwerkverkeer te analyseren op verdachte malware.
Ormandy merkte echter dat het mogelijk was om AvastSvc.exe te misleiden om kwaadaardige code uit te voeren.
Dat komt omdat hetzelfde programma de hoogste systeembevoegdheden heeft en ook kan worden uitgevoerd zonder enige isolatie van de rest van het besturingssysteem.
“Ondanks dat het zeer geprivilegieerd is en door het ontwerp niet-vertrouwde input verwerkt, heeft het geen sandbox en heeft het een slechte dekking.
Eventuele kwetsbaarheden in dit proces zijn kritiek, ”schreef Ormandy in zijn post over de ontwerpfout.
Het risico wordt vergroot door de manier waarop AvastSvc.exe een ingebouwde interpreter heeft om Javascript-bestanden, die op webpagina's worden gebruikt, te lezen en uit te voeren.
Avast zegt dat de tolk is ontworpen om als een "emulator" te fungeren, vermoedelijk zodat de software een Javascript-bestand kan uitvoeren om te controleren of het schadelijk is.
Desalniettemin biedt dezelfde emulator cybercriminelen een potentiële toegangsweg tot het manipuleren van AvastSvc.exe.
De grootste zorg is of een hacker ooit een ernstige bug in de antivirussoftware van Avast zou vinden; hij zou dan mogelijk Javascript-bestanden op websites of e-mails kunnen boobytrappen om er misbruik van te maken.
"Als je een kwetsbaarheid aantreft, is deze waarschijnlijk kritiek en ontwormbaar", voegde Ormandy toe in zijn post.
Het is niet de eerste keer dat Ormandy voor dergelijke bedreigingen waarschuwt.
In 2017 ontdekten hij en Google-beveiligingsonderzoeker Natalie Silvanovich een vergelijkbare kwetsbaarheid in Windows Defender van Microsoft; als de software een speciaal vervaardigd bestand heeft gescand, kan Windows Defender automatisch worden geactiveerd om schadelijke computercode uit te voeren.
"Dit is belachelijk slecht", tweette Ormandy destijds.
Gelukkig was Microsoft er snel bij om een ??patch uit te rollen.
In het geval van Avast heeft de antivirusprovider besloten om de Javascript-emulator in het programma AvastSvc.exe af te sluiten om de mogelijke ontwerpfout te verhelpen.
"Dit heeft geen invloed op de functionaliteit van ons AV-product (antivirus), dat is gebaseerd op meerdere beveiligingslagen," vertelde het bedrijf aan Daxdi in een verklaring.
Op Twitter ook Avast de dreiging was meer theoretisch.
Het bedrijf herstelde het probleem nadat Ormandy en Silvanovich vorige week een rapport hadden gestuurd naar het antivirusbedrijf over de ontwerpfout.
Om Avast misschien onder druk te zetten, creëerde Ormandy ook een openbare tool om geïnteresseerde gebruikers te helpen de Javascript-emulator in AvastSvc.exe te analyseren op gebreken.
