Photo by Alexxsun on https://commons.wikimedia.org/wiki/File:Kaspersky_virlab.JPG

研究人員發現知名防毒軟體卡巴斯基(Kaspersky)產品,像是Kaspersky Internet Security 中的網頁防護(Web Protection)功能出現漏洞,可導致外部網站存取其內部API,進而關閉對廣告及惡意程式的防護。而這個漏洞讓卡巴斯基補了好幾次,而且似乎還沒完全補好。

Kaspersky Web Protection主要是用於過濾網站搜尋結果,可以封鎖廣告及線上追蹤程式,還提供虛擬鍵盤以防止鍵盤側錄程式。研究人員Wladimir Palant說,Web Protection以瀏覽器外掛運作,需要和卡巴斯基主程式通訊。理論上,Web Protection的瀏覽器script和主程式間的通訊訊息,是採用外部網站無法看到的簽章值保護。但實際上,外部網站卻可以輕易攔截到這個簽章值,能讓網站直接連線卡巴斯基主程式,假扮Web Protection傳送指令。研究人員去年發現存在於瀏覽器外掛、編號為CVE-2019-15685的漏洞,攻擊者可以用這個漏洞悄悄動手腳,像是關閉廣告封鎖或線上追蹤防護功能等等。

研究人員證實,Chrome和Firefox的外掛會洩露API,即使IE,也能透過發送惡意呼叫來暴露API。不論用戶用哪個瀏覽器、是否安裝卡巴斯基的瀏覽器外掛,所有網站都能呼叫卡巴斯基主程式。

原本這只是一個「發現漏洞->廠商修補漏洞」的平常過程,但此次卡巴斯基的修補似乎一波三折。卡巴斯基今年7月釋出2020版卡巴斯基家族產品時,宣稱已經修補該漏洞。但研究人員旋即發現愈補愈大洞。首先,研究人員說卡巴斯基只是限制了較強大的API call,但是網站仍能用其他指令來控制主程式,而且還暴露了系統上卡巴斯基安裝的unique ID,進而提供了用戶瀏覽器資訊,還能讓網站直接觸發卡巴斯基防毒行程當掉,使PC完全不設防。

隨後卡巴斯基又修補了兩次。第一次仍留下少數導致防毒軟體行程當掉的問題,直到本周最新一次修補,才把洩露用戶資訊,以及關閉廣告、追蹤程式及防毒軟體的問題修補掉。但研究人員指出,外部網站對卡巴斯基防毒主程式傳送指令依然存在,難保不會觸發有害行程。

不過卡巴斯基回覆ZDNET指出,目前已經修好卡巴斯基網頁防護元件及Google Chrome外掛的安全問題,將透過自動更新程序發送到用戶端,只要重開機即可提供防護。


Advertisement

更多 iThome相關內容