Бреши в Kaspersky Web Protection могут вызвать сбой в работе процесса

Бреши в Kaspersky Web Protection могут вызвать сбой в работе процесса

Уязвимости в программном обеспечении «Лаборатории Касперского» оставили внутренний API открытым, в результате чего веб-разработчики могли использовать его. Сообщается, что несколько попыток патчинга потерпели неудачу.

Проблему описал разработчик софта Владимир Палант, проанализировавший работу функции Kaspersky Web Protection, включённой в Kaspersky Internet Security 2019.

В задачи Kaspersky Web Protection входит сканирование результатов поисковой выдачи на наличие потенциально вредоносных ссылок, блокировка рекламы и защита от веб-трекеров.

Web Protection необходимо взаимодействовать с основным продуктом. Чтобы обеспечить защищённую связь, для этого используется специальная «секретная» подпись, которая не должна быть известна веб-ресурсам.

Однако обнаруженная Палантом серия уязвимостей позволяет сайтам извлекать этот ключ и устанавливать связь с приложением «Лаборатории Касперского». Более того, у третьих лиц появляется возможность имитации Web Protection и отправки соответствующих команд.

По словам специалиста, уязвимость (CVE-2019-15685) можно использовать для извлечения подписи. Брешь существует из-за того, что Kaspersky Web Protection без расширения для браузера внедряет скрипты непосредственно в веб-страницы.

«Веб-сайты могут использовать эту уязвимость, чтобы незаметно отключить блокировку рекламы и защиту от трекеров», — пишет Палант.

Также специалист сообщил о новой уязвимости под номером CVE-2019-15687. Она открывает ресурсам доступ к данным системы пользователя — например, к уникальному идентификатору установленного на компьютере продукта «Лаборатории Касперского».

«Я попробовал схему извлечения подписи из скриптов в случае с новым Kaspersky Internet Security 2020 — пришлось лишь адаптировать свой PoC-код, чтобы внести изменения в вызов API», — объясняет специалист.

Но и это ещё не все. По словам Паланта, он выявил ещё одну брешь — CVE-2019-15686, благодаря которой можно вызвать сбой в работе процесса антивируса.

Разработчики «Лаборатории Касперского» прокомментировали уязвимости, подчеркнув, что соответствующие патчи готовы и скоро станут доступны пользователям.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вышел Google Chrome 90: пропатчена 0-day, HTTPS теперь по умолчанию

Вчера вечером по каналам обновлений прошла новая стабильная версия Google Chrome 90. Помимо различных усовершенствований по части обеспечения безопасности пользователей, браузер теперь предлагает новый кодировщик AV1, а протокол по умолчанию поменялся на HTTPS.

В общей сложности разработчики устранили в Chrome 90 37 уязвимостей, среди которых была и 0-day (её продемонстрировали на конкурсе Pwn2Own 2021).

Поскольку буквально на днях один из экспертов в области кибербезопасности опубликовал в Twitter информацию о баге в Chrome, Google немного задержала релиз версии 90, чтобы была возможность пропатчить опасную брешь.

Теперь бета-тестеры взялись «ковырять» Chrome 91, а версия Chrome 92 доступна в сборке Canary.

Одним из важных нововведений «юбилейного» релиза Chrome стала смена протокола по умолчанию. Теперь это HTTPS. Проще говоря, любой URL, который не содержит https:// или https://, будет сразу считаться HTTPS-соединением.

Если вы уже успели обновить браузер, можете протестировать это с разными ссылками. Раньше было так: если ввести в строке адрес вида example.com, Chrome пробовал подключиться через HTTP. Теперь же интернет-обозреватель по умолчанию всегда задействует безопасный протокол.

Здесь разработчики решили сразу две проблемы. Во-первых, использование HTTPS по умолчанию поможет повысить безопасность при веб-сёрфинге, а второй важный момент — более шустрая работа, поскольку теперь не будет происходить лишних редиректов с HTTP на HTTPS (многие сайты в настоящий момент перенаправляют пользователей с небезопасного протокола).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru