افزونه ی AVG Chrome داده های شخصی 9 میلیون کاربر را در معرض خطر قرار داده است.
Davis Ormandy ، محقق پروژه ی Zero شرکت گوگل یک آسیب پذیری در Web Tune Up AVG ،برنامه ی جانبی chrome، که با نصب آنتی ویروس AVG به اجبار نصب می شود را کشف کرد.
این برنامه که بیش از 9 میلیون کاربر فعال دارد، دربردارنده ی نقص هایی جدی می باشد که history, cookies و داده های شخصی کاربران را در معرض خطر قرار می دهد.
به گزارش Davis Oramndy این افزونه API های متعدد Javascript را به Chrome اضافه می کند. ظاهرا به این ترتیب مجرمان می توانند تنظیمات جستجو و new tab page کاربر را بربایند. مراحل نصب کاملا پیچیده می باشد این در حالی است که مجرمان می توانند بررسی های نرم افزار مخرب chrome را که به طور ویژه تلاشهایی در جهت جلوگیری از سوء استفاده از API صورت می دهد، دور بزنند.
Ormandy در سپتامبر سال 2015 درگیر کشف آسیب پذیری آنتی ویروس کسپرسکی و FireEye network security devices بود.
طبق آخرین صحبت های Ormandy ، در روز دوشنبه ، عنوان شده است که این مشکل برطرف گردیده است اما نصب و راه اندازی خطی (inline)، زمانیکه تیم CWS به بررسی نقض سیاستهای ممکن می پردازند، غیر فعال می باشد.
به گزارش Scmagazine ، کمپانی AVG طی ارسال یک ایمیل از محققان امنیتی گوگل در خصوص آگاه سازی این کمپانی از این نقص ایمنی تشکر کرده و ذکر کرده اند که این نقص بر طرف گردیده و نسخه ی اصلاح شده تهیه گردیده و کاربران به صورت خودکار می توانند نسخه ی به روز رسانی شده را دریافت نمایند.
منبع: www.scmagazine.com
