美國國土安全部旗下的電腦緊急應變小組(US-CERT)警告,由防毒軟體業者AVG Technologies所釋出的安全搜尋工具列AVG Secure Search(或稱AVG Safeguard)並不安全,它所使用的ActiveX控制元件含有一些危險作法,將允許駭客自遠端以使用者的權限執行任意程式。

根據AVG的說明,AVG Secure Search是一個可安裝於瀏覽器上的工具列,會在使用者造訪危險的網站時跳出通知,以確保使用者的身份、個人資料,或電腦不被危害,另也內建了Do Not Track機制以向網站宣告不想被追蹤。它支援IE、Firefox與Chrome等瀏覽器。

US-CERT指出,AVG Secure Search內含一個名為ScriptHelperApi的ActiveX控制元件,該元件是由ScriptHelper.exe所提供。此一ActiveX控制器標榜可讓IE安全執行腳本程式,意味著駭客無法變更其用途,但由於並未限制哪些網站可以呼叫它所使用的方法,代表任何網站都可存取由該控制器所洩露的方法。

此外,該控制器的註冊值為ElevationPolicy與Preapproved,代表它在IE的沙箱保護模式之外,也繞過了IE 7之後版本的ActiveX自行選擇加入(ActiveX Opt-In)機制。

位於IE沙箱保護之外、自動執行ActiveX,再加上ScriptHelperApi使用了許多可被自由存取的危險方法,種種因素造成IE上的AVG Secure Search充滿風險。駭客只要引導使用者造訪一個特製的HTML文件,便可基於使用者權限遠端下載或執行任意程式。

AVG已於AVG Secure Search 18.1.7.598及AVG Safeguard 18.1.7.644等版本修補了該安全漏洞,US-CERT亦教導使用者如何關閉IE中的ScriptHelperApi控制元件。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容