Специалист в области безопасности нашел критические уязвимости в нескольких «безопасных» браузерах

Инженер по вопросам безопасности из Google Project Zero Тэвис Орманди опубликовал доклад об обнаруженных не так давно критических уязвимостях в ряде браузеров, которые являются форками Google Chromium. Речь идет о таких популярных проектах, как Avast, Chromodo и Malwarebytes. По словам Орманди, обнаруженные бреши в "безопасных" браузерах предоставляли хакерам прямой доступ к системе и носили чрезвычайно угрожающий характер. К счастью, по состоянию на 3 февраля, в двух браузерах из трех "дыры" были закрыты соответствующими патчами безопасности. С другой стороны, эта новость выявила серьезные погрешности со стороны сторонних разработчиков в вопросе обеспечения безопасности пользователей.

В браузере Avastium Тэвис Орманди обнаружил возможность удаленного получения доступа к любому файлу в системе через специально подготовленную веб-страницу с исполняемым кодом JavaScript. Потенциально такая "дыра" позволяет извлекать куки и электронную почту. Проблема была впервые озвучена 8 декабря и устранена 3 февраля.

Похожая история приключилась с браузером Chromodo от Comodo Internet Security. По словам инженера безопасности, в Chromodo не выполняется правило ограничения домена и исполняемый код с одного сайта выполняется на другом. Кроме того, при установке Chromodo последний импортирует все сохраненные данные из предустановленного Chrome, включая линки, закладки, установки, куки, настройки DNS и многое другое. Директор Comodo Чарльз Цинковски заявил, что новая версия браузера была выпущена с устраненными недостатками.

В случае с Malwarebytes Орманди выяснил, что браузер загружает обновления не по безопасному каналу связи, что делает его уязвимым для атак типа Man-In-The-Middle. Атакующий может подменить код во время обновления и запустить его на компьютере жертвы. Руководство утверждает, что апдейт с исправлением будет выпущен в течение четырех недель.

Google Project Zero призван выявлять уязвимости в браузерах, созданных на базе Chromium, и повышать их безопасность для пользователей.