卡巴斯基防毒产品出现漏洞,可导致外部网站存取其内部API,并得以关闭某些防护措施,
这个漏洞似乎让卡巴斯基颇为头大,前后陆续修补了三次
文/林妍溱 | 2019-11-27发表
研究人员发现知名防毒软件卡巴斯基(Kaspersky)产品,像是Kaspersky Internet Securi
ty 中的网页防护(Web Protection)功能出现漏洞,可导致外部网站存取其内部API,进而
关闭对广告及恶意程式的防护。而这个漏洞让卡巴斯基补了好几次,而且似乎还没完全补好
。
Kaspersky Web Protection主要是用于过滤网站搜寻结果,可以封锁广告及线上追踪程式,
还提供虚拟键盘以防止键盘侧录程式。研究人员Wladimir Palant说,Web Protection以浏
览器外挂运作,需要和卡巴斯基主程式通讯。理论上,Web Protection的浏览器script和主
程式间的通讯讯息,是采用外部网站无法看到的签章值保护。但实际上,外部网站却可以轻
易拦截到这个签章值,能让网站直接连线卡巴斯基主程式,假扮Web Protection传送指令。
研究人员去年发现存在于浏览器外挂、编号为CVE-2019-15685的漏洞,攻击者可以用这个漏
洞悄悄动手脚,像是关闭广告封锁或线上追踪防护功能等等。
研究人员证实,Chrome和Firefox的外挂会泄露API,即使IE,也能透过发送恶意呼叫来暴露
API。不论用户用哪个浏览器、是否安装卡巴斯基的浏览器外挂,所有网站都能呼叫卡巴斯
基主程式。
原本这只是一个“发现漏洞->厂商修补漏洞”的平常过程,但此次卡巴斯基的修补似乎一波
三折。卡巴斯基今年7月释出2020版卡巴斯基家族产品时,宣称已经修补该漏洞。但研究人
员旋即发现愈补愈大洞。首先,研究人员说卡巴斯基只是限制了较强大的API call,但是网
站仍能用其他指令来控制主程式,而且还暴露了系统上卡巴斯基安装的unique ID,进而提
供了用户浏览器资讯,还能让网站直接触发卡巴斯基防毒行程当掉,使PC完全不设防。
随后卡巴斯基又修补了两次。第一次仍留下少数导致防毒软件行程当掉的问题,直到本周最
新一次修补,才把泄露用户资讯,以及关闭广告、追踪程式及防毒软件的问题修补掉。但研
究人员指出,外部网站对卡巴斯基防毒主程式传送指令依然存在,难保不会触发有害行程。
不过卡巴斯基回复ZDNET指出,目前已经修好卡巴斯基网页防护元件及Google Chrome外挂的
安全问题,将透过自动更新程序发送到用户端,只要重开机即可提供防护。
https://www.ithome.com.tw/news/134442