Google-forskare hittar designfel i Avast Antivirus

Googles säkerhetsforskare har upptäckt en potentiell designfel i Avasts antivirusprogram som kunde ha använts för att fjärrhacka en dator.

På måndag, Google-forskare Tavis Ormandy problemet, som behandlar Avasts antivirusmotor "AvastSvc.exe." Programmet är byggt för att analysera datorns opålitliga data i lokala filer och nätverkstrafik för misstänkt skadlig kod.

Ormandy märkte dock att det kan ha varit möjligt att lura AvastSvc.exe till att köra skadlig kod.

Det beror på att samma program har de högsta systembehörigheterna och körs utan isolering från resten av operativsystemet.

”Trots att den är mycket privilegierad och bearbetar otillförlitliga inmatningar av design är den utan sandlådor och har dålig minskningstäckning.

Eventuella sårbarheter i denna process är kritiska, ”skrev Ormandy i sitt inlägg om designfelet.

Att jämföra risken är hur AvastSvc.exe har en inbyggd tolk för att läsa och köra Javascript-filer, som används på webbsidor.

Avast säger att tolk är utformad för att fungera som en "emulator", förmodligen så att programvaran kan köra en Javascript-fil för att kontrollera om den är skadlig.

Ändå ger samma emulator cyberbrottslingar ett potentiellt inträde till att manipulera AvastSvc.exe.

Den största oro är om en hackare någonsin skulle hitta en allvarlig bugg i Avasts antivirusprogram; han kunde då potentiellt fälla Javascript-filer på webbplatser eller e-postmeddelanden för att utnyttja den.

"Om du hittar en sårbarhet är det troligtvis kritiskt och avmaskbart", tillade Ormandy i sitt inlägg.

Det är inte första gången Ormandy varnar för sådana hot.

År 2017 fann han och Googles säkerhetsforskare Natalie Silvanovich en liknande sårbarhet i Microsofts Windows Defender.

om programvaran skannade en speciellt utformad fil kan Windows Defender automatiskt utlösas till att köra skadlig datorkod.

"Det här är galet dåligt", tweetade Ormandy då.

Lyckligtvis var Microsoft snabbt med att lansera en patch.

I Avasts fall har antivirusleverantören beslutat att stänga av Javascript-emulatorn i AvastSvc.exe-programmet för att korrigera den potentiella designfelet.

"Detta kommer inte att påverka funktionaliteten hos vår AV (antivirus) produkt, som är baserad på flera säkerhetslager", berättade företaget i ett uttalande till Daxdi.

På Twitter också Avast hotet var mer teoretiskt.

Företaget lappade problemet efter att Ormandy och Silvanovich skickade en rapport till antivirusföretaget om designfelet förra veckan.

För att kanske pressa Avast till handling skapade Ormandy också ett offentligt verktyg för att hjälpa intresserade användare att analysera Javascript-emulatorn i AvastSvc.exe för brister.

Googles säkerhetsforskare har upptäckt en potentiell designfel i Avasts antivirusprogram som kunde ha använts för att fjärrhacka en dator.

På måndag, Google-forskare Tavis Ormandy problemet, som behandlar Avasts antivirusmotor "AvastSvc.exe." Programmet är byggt för att analysera datorns opålitliga data i lokala filer och nätverkstrafik för misstänkt skadlig kod.

Ormandy märkte dock att det kan ha varit möjligt att lura AvastSvc.exe till att köra skadlig kod.

Det beror på att samma program har de högsta systembehörigheterna och körs utan isolering från resten av operativsystemet.

”Trots att den är mycket privilegierad och bearbetar otillförlitliga inmatningar av design är den utan sandlådor och har dålig minskningstäckning.

Eventuella sårbarheter i denna process är kritiska, ”skrev Ormandy i sitt inlägg om designfelet.

Att jämföra risken är hur AvastSvc.exe har en inbyggd tolk för att läsa och köra Javascript-filer, som används på webbsidor.

Avast säger att tolk är utformad för att fungera som en "emulator", förmodligen så att programvaran kan köra en Javascript-fil för att kontrollera om den är skadlig.

Ändå ger samma emulator cyberbrottslingar ett potentiellt inträde till att manipulera AvastSvc.exe.

Den största oro är om en hackare någonsin skulle hitta en allvarlig bugg i Avasts antivirusprogram; han kunde då potentiellt fälla Javascript-filer på webbplatser eller e-postmeddelanden för att utnyttja den.

"Om du hittar en sårbarhet är det troligtvis kritiskt och avmaskbart", tillade Ormandy i sitt inlägg.

Det är inte första gången Ormandy varnar för sådana hot.

År 2017 fann han och Googles säkerhetsforskare Natalie Silvanovich en liknande sårbarhet i Microsofts Windows Defender.

om programvaran skannade en speciellt utformad fil kan Windows Defender automatiskt utlösas till att köra skadlig datorkod.

"Det här är galet dåligt", tweetade Ormandy då.

Lyckligtvis var Microsoft snabbt med att lansera en patch.

I Avasts fall har antivirusleverantören beslutat att stänga av Javascript-emulatorn i AvastSvc.exe-programmet för att korrigera den potentiella designfelet.

"Detta kommer inte att påverka funktionaliteten hos vår AV (antivirus) produkt, som är baserad på flera säkerhetslager", berättade företaget i ett uttalande till Daxdi.

På Twitter också Avast hotet var mer teoretiskt.

Företaget lappade problemet efter att Ormandy och Silvanovich skickade en rapport till antivirusföretaget om designfelet förra veckan.

För att kanske pressa Avast till handling skapade Ormandy också ett offentligt verktyg för att hjälpa intresserade användare att analysera Javascript-emulatorn i AvastSvc.exe för brister.