Тавис Орманди, участник команды Google Project Zero. нашел опасный баг в расширении AVG Web TuneUp для Интернет-браузера Google Chrome. Компания AVG принуждает пользователей установить AVG Web TuneUp в ходе инсталляции антивирусной программы. Используя данную уязвимость, преступники могут заполучить доступ к истории браузера и файлам cookie.
Как Орманди указал в своем отчете, расширение AVG Web TuneUp установили 9 миллионов пользователей. Продукт AVG является уязвимым перед XSS-атаками.
По словам Орманди, данным расширением в Chrome добавляются несколько JavaScript API, вероятно, для того, чтобы сохранять возможность редактировать настройки поиска и новой вкладки. Процесс установки запутан, поскольку AVG вынуждена преодолевать защиту официального магазина Chrome Web Store от вредоносных программ, призванную предотвратить нецелевое использование API расширений.
Эксперту удалось выяснить, что многие из JavaScript API, добавленных в браузер, содержат множество багов и могут быть применены злоумышленниками для получения доступа к персональным данным пользователей.
XSS-уязвимость в расширении AVG может использоваться хакерами для хищения информации с учетных записей Gmail, Yahoo, а также банковских сайтов.
Проблема была устранена разработчиками в версии AVG Web TuneUp 4.2.5.169. Однако по причине данного инцидента в компании Google были вынуждены заблокировать возможность потоковой установки этого расширения. Иными словами, пользователи, желающие установить AVG Web TuneUp, должны зайти в Chrome Web Store и провести установку расширения вручную.
В отношении компании AVG начато расследование, поскольку в Google считают, что производитель антивирусного программного обеспечения мог умышленно нарушить правила Chrome Web Store.