Google advarer om sårbarheder i sikkerhedsprodukter

Sikkerhedsekspert hos Google afslører huller i sikkerhedsprodukter hos tre kendte leverandører.

I løbet af få dage har Google Project Zero, med sikkerhedsekspert Tavis Ormandy ved roret, afsløret sårbarheder i ikke mindre end tre sikkerhedsprodukter fra tre forskellige leverandører.

Ifølge digi.no er der er tale om produkter fra firmaerne Malwarebytes, Avast og Comodo.

Usikker sikkerhed

Anti-Malware programmet fra Malwarebytes, der køre på omkring en kvart milliard maskiner globalt, opdateres via en ikke ikke-krypteret HTTP-forbindelse. Det er altså muligt for en hacker at lave et ‘man-in-the-middle' angreb mod forbindelsen og manipulere med de data, der overføres.

Tavis Ormandy beskriver, at filerne omfatter en ikke signeret MD5 checksum, der også sendes via almindelig HTTP. Det er derfor muligt for en hacker, selv om data er krypteret med en hårdtkodet RC4 nøgle, at finde nøglen og re-krypter data.

Malwarebytes meddeler, at flere af sårbarhederne nu er rettet på serversiden, men at det kan tage 3-4 uger før en opdatering af klient softwaren stilles til rådighed.

Farlig browser

Hos Avast og Comodo har Project Zero fundet alvorlige fejl i deres Chromium baserede browsere.

Comodos Internet Security pakken installer en Chromeium baseret browser som standard i Windows.

Problemet med browseren er ifølge Tavis Ormandy, at den overtager DNS-indstillinger, håndtering af cookies og deaktivere "same origin policy", som begrænser og sikre, hvordan HTML og script fra en eksterne kilde (host, protokol eller port) kan integrere med filer, som eksempelvis netbank informationer, på computeren.

Comodo har i den forgangne uge udsendt opdateringer til deres browser, der skal lukke de svagheder, Tavis Ormandy har påpeget.

Men også Avast tilbyder en Chromium baseret browser med problemer. En kompliceret svaghed i deres browser giver hackere adgang til filsystemer på computeren via klik på et kompromitteret link.

Svagheden gør det muligt at sende 'godkendte' HTTP-anmodninger og læse svarene, hvilket igen gør det muligt for hackeren at læse cookies, e-mail, interagere med netbank, med videre, konkluder Tavis Ormandy.

Google Project Zero oplyser, at man, som sædvanligt, har underrettet leverandørerne om sårbarhederne, 90 dage før de er blevet offentliggjort.

Følg forløbet

Kommentarer (1)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen