安全研究人员发现捷克防毒软体Avast出现漏洞,反而让骇客在用户电脑上执行恶意程式码。Avast已暂时关闭有问题的元件。漏洞出在Avast一个名为AvastSvc.exe的防毒行程服务。这个服务作用是载入低阶JavaScript引擎,分析来自档案系统minifilter或拦截的网路流量中的未受信任的资料,检查是否有恶意程式的JavaScript。
AvastSvc服务是以「系统」权限执行。这项服务设计上一方面具有高权限、处理未受信任的输入,另一方面,其JavaScript解译器(interpreter)却又未在沙箱(unsandbox)环境,而且防御层面不足,因此该服务的任何漏洞都很重大,都是验证前远端任意程式码执行漏洞(pre-auth RCE),可被远端攻击者轻易开採。攻击者只要透过电子邮件传送恶意JavaScript档或WSH档,或诱使用户开启包含恶意JavaScript的档案,就足以进行攻击。
Ormandy并释出一个可检测该元件漏洞的工具,供有兴趣者使用。Avast获知漏洞后也表示,为了确保用户安全,该公司已关闭其模拟器(即解译器),且说Avast採用多层防护机制,关闭该功能不会影响防毒产品的效果。
