Google安全研究人员发现捷克杀毒软件Avast出现漏洞,反而让黑客在用户计算机上执行恶意程序代码。Avast已暂时关闭有问题的组件。
漏洞出在Avast一个名为AvastSvc.exe的杀毒行程服务。这个服务作用是加载低端JavaScript引擎,分析来自文件系统minifilter或拦截的网络流量中的未受信任的资料,检查是否有恶意程序的JavaScript。
AvastSvc服务是以“系统”权限执行。Google Project Zero研究人员Tarvis Ormandy指出,这项服务设计上一方面具有高权限、处理未受信任的输入,另一方面,其JavaScript解译器(interpreter)却又未在沙箱(unsandbox)环境,而且防御层面不足,因此该服务的任何漏洞都很重大,都是验证前远程任意程序代码执行漏洞(pre-auth RCE),可被远程攻击者轻易开采。攻击者只要通过电子邮件发送恶意JavaScript档或WSH档,或诱使用户打开包含恶意JavaScript的文件,就足以进行攻击。
Ormandy并发布一个可检测该组件漏洞的工具,供有兴趣者使用。
Avast获知漏洞后也表示,为了确保用户安全,该公司已关闭其模拟器(即解译器),且说Avast采用多层防护机制,关闭该功能不会影响杀毒产品的效果。