Sikkerhedsfirmaers browsere er usikre

Artiklen blev oprindeligt publiceret den 5/2/2016

En sikkerhedsforsker har fundet alvorlige sikkerhedshuller i browsere, som leveres af sikkerhedsfirmaer. Avasts SafeZone og Comodos Chromodo er sårbare, Avast har lukket hullet.

Begge browsere bygger på kildekoden fra Chromium-projektet, som også bruges til Google Chrome. Men sikkerhedsfirmaerne har fjernet vigtige sikkerhedsfunktioner.

Avast SafeZone, der også er kendt som Avastium, tillader, at brugere åbner alle former for URL’er på kommandolinjen. I Chromium er kun såkaldte WebSafe-links tilladt.

Hvis en angriber kan lokke offeret til at besøge en bestemt URL, kan vedkommende få fuld kontrol med SafeZone.

Fejlen er rettet med Avast 2016 build 2016.11.1.2253, der kom for et par dage siden.

Browseren Chromodo fra Comodo slår den såkaldte same origin policy fra. Dermed forsvinder en vigtig beskyttelse mod blandt andet cross-site scripting-angreb. Endvidere er programmet baseret på en gammel udgave af Chromium med kendte sårbarheder.

Comodo har øjensynlig ikke opdateret browseren.

Anbefaling
Opdater Avast. Afinstaller Chromodo, indtil sårbarheden bliver fjernet.

Links

• Avast Patches Vulnerability in SafeZone Tool, artikel fra SecurityWeek
• Vulnerability Note VU#305096: Comodo Chromodo browser does not enforce same origin policy and is based on an outdated version of Chromium