O pesquisador de segurança do Google Tavis Ormandy, que está buscando vulnerabilidades em produtos de segurança, encontrou uma falha no "AVG Web TuneUp", uma extensão da fabricante de antivírus AVG para o Google Chrome. Segundo Ormandy, a brecha permitia o vazamento de dados, como o histórico do navegador.
A falha foi descoberta no dia 15 de dezembro, quando Ormandy entrou em contato com a AVG para comunicar a vulnerabilidade. A empresa atualizou a extensão para corrigir o problema, mas a mudança não foi suficiente e Ormandy mostrou que o erro ainda poderia ser explorado.
A AVG também baseou a solução para o problema em uma restrição que apenas permitia comandos a partir de endereços "avg.com", mas Ormandy argumentou que falhas no site da AVG colocariam usuários em risco. Em "menos de um minuto", o pesquisador disse ter identificado uma dessas falhas no site da empresa no dia 20 de dezembro.
Em um teste do blog Segurança Digital, a falha encontrada no site continuava aberta nesta terça-feira (29). Mas a extensão já foi corrigida, e por isso, o Google abriu os detalhes técnicos e da comunicação entre a fabricante de antivírus e o pesquisador.
Apesar do problema ter sido aparentemente solucionado, a instalação da extensão está temporariamente bloqueada. Segundo Ormandy, a equipe do Chrome está verificando uma possível violação nas políticas do navegador Chrome por parte da AVG.
O blog procurou a AVG nesta terça-feira (29) por telefone e por e-mail para comentar o assunto, mas não localizou ninguém da empresa.
Atualização - A AVG enviou um comunicado nesta quinta-feira (31) confirmando a falha. A empresa agradeceu a equipe de segurança do Google e afirmou que todos os usuários receberão a extensão corrigida por meio de atualização automática.
0 comentários:
Postar um comentário