Обнаружена серьезная уязвимость в антивирусе AVG

Ксения Ренселаева 13 Октября 2010 - 21:13

...

Пользователями обнаружена серьезная ошибка в одном из приложений антивирусного программного обеспечения AVG, которое включено во всю линейку продукции AVG 2011, включая популярный бесплатный антивирус.

По неофициальным данным стало известно о наличии ошибки в приложении AVG LinkScanner, которая может привести к засорению трафика веб-сайтов (флуд), в результате многократных HTTP запросов, а так же ограничению нормальной работы браузера.

Приложение AVG LinkScanner имеет две функции. Первая - Search-Shield, которая отображает рейтинг безопасности для всех результатов поиска, возвращаемых самыми популярными поисковыми службами. И вторая - Surf-Shield, осуществляет проверку веб-страниц в реальном времени на наличие вредоносов, как при переходе по ссылке, так и при введении адреса страницы в адресную строку браузера. Как оказалось, именно при такой проверке возникает проблема.

Дело в том, что при проверке, в самое начало исходного HTML кода страницы добавляется скриптовый элемент, который затем загружает локальный JavaScript файл - avg_ls_dom.js. Таким образом, антивирус подключается между браузером и веб-сайтом, для возможности проверки страницы до того, как будет запущен какой-либо потенциально опасный код.

Загружаемый JavaScript код, как предполагается, создает буфер с контентом загружаемой страницы и перенаправляет его через POST на другой относительный адрес URL - /CC0227228D62/CheckData.

Запрос выглядит следующим образом:
httpRequest.open("POST", "/CC0227228D62/CheckData", false);
httpRequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
httpRequest.send(params);

Далее, этот запрос прерывается антивирусом, который проверяет код на наличие вредоносных внедрений, а затем, либо позволяет отобразить страницу, либо выдает ошибку загрузки. Однако, оказалось, что уязвимость, подобно прокси компоненту, пропускает запросы и отправляет их на сервер, откуда была загружена страница, в результате чего генерируются многократные HTTP запросы.

В результате запрос будет выглядеть так: <source_ip> - - [12/Oct/2010:00:06:32 -0400] "POST /CC0227228D62/CheckData HTTP/1.1" 404 5486 "http://<url>" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.8) Gecko/20100722 YFF35 Firefox/3.6.8" (27)

Причем плотность таких запросов будет зависеть от количества пользователей с антивирусом AVG, пытающихся посетить конкретную страницу. И самое неприятное в этом то, что у пользователя, в это время в браузере будет открываться огромное количество соединений, которые не будут загружаться.

Данная проблема обсуждалась на тематических форумах и блогах, так же как и на франзузком форуме технической поддержки AVG, где компания сообщила о том, что знает о существующей проблеме и работает над ее устранением.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 19 Июня 2025 - 09:54

Целевые атаки Таргетированные атаки Атаки на АСУ ТП Корпорации Государство

На критическую инфраструктуру России было совершено 208 тыс. кибератак

Заместитель секретаря Совета безопасности России Алексей Шевцов заявил, что по итогам 2024 года на объекты критической инфраструктуры было совершено более 208 тысяч кибератак, отнесённых к категории опасных.

Эти данные он привёл на I Международной конференции государств — членов ОДКБ по вопросам кибербезопасности, проходящей в Киргизии.

Главной темой мероприятия стало обеспечение безопасности глобальной информационно-коммуникационной технологической среды и обмен опытом в сфере защиты национальных интересов.

Согласно данным компании Red Security, 64% всех зафиксированных кибератак в 2024 году были направлены на объекты критической информационной инфраструктуры (КИИ). Причём 68% из них носили критичный характер. Для сравнения: в 2023 году доля атак на КИИ составляла 47%.

«Отмечается рост количества целенаправленных и хорошо подготовленных атак — их число увеличилось примерно на 60% по сравнению с 2023 годом. Наши исследования показывают, что в 2025 году вредоносная активность, особенно в отношении объектов КИИ, сохранится на высоком уровне», — прокомментировал ситуацию технический руководитель RED Security SOC Ильназ Гатауллин.

Red Security выделяет промышленность как наиболее атакуемую отрасль: на неё пришлась треть всех атак. Центр мониторинга и реагирования на инциденты информационной безопасности госкорпорации «Ростех» (RT Protect SOC) по итогам 2024 года зафиксировал удвоение объёма обрабатываемых событий — до 3 трлн.

«Суть киберугроз меняется, — заявил в интервью «Известиям» первый заместитель генерального директора АО «РТ-Информационная безопасность» Артём Сычёв. — Хакеры больше не идут в лоб. Они действуют как разведчики: проникают незаметно, наблюдают, маскируются под штатную активность, а затем наносят точечные удары. В 2024 году наш SOC обработал 2,94 трлн событий, подтвердил более 2 тыс. атак и научился выявлять угрозы ещё до того, как они могут нанести ущерб».

Основные векторы атак включали фишинг и использование скомпрометированных учётных данных. Часто атаки осуществлялись не напрямую, а через партнёров и подрядчиков. Также получило широкое распространение использование уязвимостей в популярном ПО, таких как WinRAR и Outlook.

По информации, предоставленной «Известиям» экспертами департамента киберразведки (Threat Intelligence) компании F6, в 2024 году количество активных APT-группировок, атакующих российские компании, удвоилось — с 14 в 2023 году до 27. Одновременно значительно возросла и интенсивность атак.

Наибольшую активность против инфраструктуры «Ростеха» проявляли группировки HeadMare и Cloud Atlas.