Google Project Zeroのハッカー、Tavis Ormandy氏は、Avastアンチウイルスに、攻撃者がリモートコード実行権限を取得できる脆弱性を発見した。この脆弱性はその後修正された。
オーマンディ氏は、ブラウザにアクセスした際に暗号化されたトラフィックを分析するためにアバストが使用する中間者攻撃の手法は、X.509 証明書の解析が不十分なため安全ではないと述べている。
どうやら Avast ユーザーが攻撃者によって生成されたリンクをたどり、コード実行の警告を無視して攻撃を受ける必要があるようです。
「Chrome の SSL を MITM するつもりなら、少なくとも出荷前にインターンに X.509 の解析をざっとやってもらう必要があります」と Ormandy 氏は言います。
ハッカーは、ベンダーのパッチリリースまでの期間が7日間であることを指摘したが、アバストのセキュリティ担当者を非難し、攻撃者が自社製品を狙ったワームを作成しなかったのはベンダーにとって幸運だとツイートした。
@Jindroush あなたは「階層化防御」と言いますが、私は「攻撃対象領域」と言います。ワーム攻撃を受けていないのは奇跡です。早急にコードをサンドボックス化してください。
— テイビス・オーマンディ (@taviso) 2015 年 9 月 28 日
オーマンディ氏は、Google Project Zero 資産に関する概念実証情報を公開しました。
Avast は、パッチのリリースノートの詳細を記載したサイトをまだ更新していません。®
アバストの概念実証
