因被曝严重漏洞，Avast紧急禁用其 JavaScript 引擎

Posted 2021-04-17 代码卫士

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

捷克反病毒厂商 Avast 禁用了其反病毒产品中的一个重要组件，原因是安全研究人员在其中发现了一个可导致所有公司用户受风险的危险漏洞。

该安全缺陷存在于 Avast 的 javascript 引擎中，该引擎是 Avast 反病毒产品的内部组件，用于分析 JavaScript 代码中是否存在恶意软件，以确定是否允许它在浏览器或邮件客户端中执行。

谷歌公司的安全研究员 Tavis Ormandy 表示，“尽管是高权限且从设计上来讲处理不可信的输入，但它并未被沙箱化且缓解覆盖范围不良。该进程中的任何漏洞都是严重级别，而且可被远程攻击者轻易访问。”另外，该研究员还发布了用于分析该公司杀毒引擎的工具 (https://github.com/taviso/avscript)。

易于被利用

利用这种类型的漏洞易如反掌。攻击者需要做的不过是通过邮件发送恶意 JS 或 WSH 文件，或者诱骗用户访问内含恶意 JavaScript 代码的陷阱文件。

Ormandy 表示一旦 Avast 反病毒产品下载并在定制化引擎中执行恶意 JavaScript 代码，攻击者就能够以系统级别的访问权限在用户计算机上执行恶意操作。例如攻击者可使用该缺陷在 Avast 用户设备上安装恶意软件。

上周已知晓

虽然 Avast 已在上周就知晓此事，但尚未修复该问题，不过在今天早些时候，Avast 决定在补丁发布前先禁用 JavaScript 扫描能力。

Avast 发布如下声明解释了为何采取这种极端措施：

上周三（3月4日），谷歌漏洞安全研究员 Tavis Ormandy 向我们报告了影响其中一个仿真器的漏洞。该漏洞可能已被滥用于执行远程代码。

3月9日，他发布了一款工具，极大地简化了仿真器中的漏洞分析过程。

我们已经禁用该仿真器以修复该漏洞，确保数亿用户免受攻击。这样做不会影响基于多个安全层的反病毒产品的功能。

目前尚不清楚补丁何时发布。

Ormandy 通过他在2017年开发的一款工具发现了这个漏洞，该工具使其能够将 Windows DLL 文件移植到 Linux 中，从而更加容易地执行自动化模糊测试和其它安全测试。

推荐阅读

原文链接

https://www.zdnet.com/article/avast-disables-javascript-engine-in-its-antivirus-following-major-bug/

题图：Pixabay License

文内图：ZDNet

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 

    点个“在看”，一起玩耍