Security-Experte schlampt
AVG-Add-on gefährdet 9 Millionen Chrome-Nutzer
von
Stefan
Bordel - 30.12.2015
Foto: JMiks / shutterstock.com
Die Chrome-Erweiterung "AVG Web TuneUp" soll Nutzer eigentlich vor dem Besuch schädlicher Webseiten bewahren. Leider ist das Add-on selbst löchrig wie ein Schweizer Käse ...
AVG Web TuneUp: Das Browser-Add-on hatte mit vielen kritischen Schwachstellen zu kämpfen.
(Quelle: AVG )
Über die fehlerhaften APIs sollen Angreifer beispielsweise in der Lage sein, die Sucheinstellungen oder die Neue-Tab-Seite zu manipulieren. Darüber hinaus werde über den komplizierten Installationsprozess der in Chrome integrierte Malware-Test umgangen. Dem Sicherheitsforscher gelang es außerdem, über die verschiedenen Sicherheitslücken an den Browser-Verlauf und andere persönliche Daten zu gelangen.
"Die Erweiterung ist derart fehlerhaft, dass ich mir nicht sicher bin, ob ich sie entweder als Sicherheitslücke melden, oder vom Extension-Abuse-Team als PuP (Potentially Unwanted Program) untersuchen lassen soll", schreibt Ormandy in einer Mail an den Hersteller.
Mittlerweile hat AVG die Erweiterung auf Version 4.2.5.169 gepatcht, in der die Probleme beseitigt sind. Die automatische Installation wurde ebenfalls entfernt.
Allem Anschein nach nehmen es gerade die Sicherheitshersteller oft nicht so genau mit der Sicherheit ihrer eigenen Produkte. Eine Untersuchung von AV-Test zeigte erst Ende Oktober, dass viele Hersteller etwa mit unsignierten PE-Dateien arbeiten.