IT之家讯 AVG的Web TuneUp Chrome扩展程序会在用户安装防病毒软件时被强制安装,使用Chrome浏览器的用户会因此受到影响。谷歌Project Zero研究员Tavis Ormandy发现这个扩展程序存在漏洞,可允许攻击者获取用户浏览历史、cookies以及其他有效信息。
这位研究员在问题报告中指出,AVG Web TuneUp扩展在Chrome Web商店页面列出了超过900万用户,很容易因此受到XSS(跨站脚本)攻击。攻击者在获悉这个消息后,可以得到用户cookies、浏览历史、搜索设置和其他各种细节信息。而由于安装过程较为复杂,因此可以绕过Chrome商店恶意软件检查机制。
Tavis Ormandy还表示,目前众多扩展程序都是“半成品”状态,代码简陋,安全性差,容易给攻击者可乘之机。目前新版AVG Web TuneUp 4.2.5.169已经修复了该漏洞,并且谷歌已经禁用了AVG扩展程序内部安装机制,也就是说用户只能通过Chrome商店安装该扩展程序,防止此类问题再次发生。现在商店团队正在调查AVG的扩展程序违规行为。(via:Softpedia)
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。