AVGアンチウイルスはChromeのセキュリティを破り、Googleはそれについて激怒しました

AVG-WebTuneUP

AVGアンチウイルスは、10年以上にわたって人気のあるセキュリティスイートです。同社は、1億台のモバイルインストールを含む2億台を超えるアクティブデバイスを主張しています。過去数年にわたり、同社はAVGセーフサーチツールバーを許可なしにインストールし、消費者データを広告主に販売することを発表したことで、ますます激しくなってきました。現在、同社は、Google Chromeユーザーのセキュリティを根本的に破壊するAVG Web TuneUpソフトウェアの巨大なバグのおかげで、ようやく行き過ぎた可能性があります。

avg_web_tuneup

AVG Web TuneUp拡張機能



12月15日、Googleセキュリティ研究者のTavis Ormandy バグレポートを提出 AVGを使用して、ソフトウェアに次のように注意します。



「(A)Chromeに多数のJavaScript APIを追加しました。どうやら検索設定と新しいタブページを乗っ取ることができるようです。インストールプロセスは非常に複雑なので、拡張機能APIの悪用を阻止しようとするChromeマルウェアチェックを回避できます。」

Ormandyは、AVGに直接送信される自己説明の怒っている電子メールでバグレポートを追跡しました。その中で、Ormandyはこう書いています:



「このゴミがChromeユーザーにインストールされることに本当に興奮していません。拡張機能がひどく壊れているので、脆弱性として報告する必要があるのか​​、それとも拡張機能の悪用チームにそれがPuP(望ましくない可能性のあるプログラム)であるのかを調査するように依頼するのかどうかわかりません。

それにもかかわらず、私の懸念は、あなたのセキュリティソフトウェアが900万人のChromeユーザーのWebセキュリティを無効にしていることです。これにより、検索設定と新しいタブページを乗っ取ることができるようです。

複数の明らかな攻撃の可能性があります。たとえば、「navigate」APIの簡単なユニバーサルxssは、他のドメインのコンテキストで任意のWebサイトがスクリプトを実行できるようにします。」 (関連するコードサンプルは、最初のバグレポートで確認できます。)



AVGは12月19日に問題の壊れたパッチをリリースしましたが、Googleはすぐにこれを拒否しました。同社はパッチを再度改訂しましたが、12月28日現在、Googleは拡張機能をレビューして、AVGがパッチを提供できるかどうかを判断しています。

最新のアンチウイルス比較のレビュー AV比較 は、ヒープの上部でAVGのウイルス対策が実行されているところを示しています。しかし、同社がユーザーに向けて押し上げてきたフォイストウェアについても、同じことは言えない。近年、多くのユーザーからの苦情が噴出しており、そのほとんどは同じことを言っています。AVGの補足ソフトウェアであるWeb TuneUpやSafeSearchなどは、セキュリティ上の災害であり、猛烈に嫌われています。

AVG

会社が消費者データ(上記の情報はAVG自体からのものです)を販売することを望んでいるという事実は、多くのユーザーにとって最後のストローかもしれません。 AVGは、ユーザーベースのデータを販売しているときに機能しない製品にユーザーを押し込むために、実際のデューデリジェンスを交換しました。

Copyright © 全著作権所有 | 2007es.com