Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/2/2016
En sikkerhedsforsker har fundet alvorlige sikkerhedshuller i browsere, som leveres af sikkerhedsfirmaer. Avasts SafeZone og Comodos Chromodo er sårbare, Avast har lukket hullet.Begge browsere bygger på kildekoden fra Chromium-projektet, som også bruges til Google Chrome. Men sikkerhedsfirmaerne har fjernet vigtige sikkerhedsfunktioner.
Avast SafeZone, der også er kendt som Avastium, tillader, at brugere åbner alle former for URLer på kommandolinjen. I Chromium er kun såkaldte WebSafe-links tilladt.
Hvis en angriber kan lokke offeret til at besøge en bestemt URL, kan vedkommende få fuld kontrol med SafeZone.
Fejlen er rettet med Avast 2016 build 2016.11.1.2253, der kom for et par dage siden.
Browseren Chromodo fra Comodo slår den såkaldte same origin policy fra. Dermed forsvinder en vigtig beskyttelse mod blandt andet cross-site scripting-angreb. Endvidere er programmet baseret på en gammel udgave af Chromium med kendte sårbarheder.
Comodo har øjensynlig ikke opdateret browseren.
Anbefaling
Opdater Avast. Afinstaller Chromodo, indtil sårbarheden bliver fjernet.