卡巴斯基防毒產品出現漏洞,可導致外部網站存取其內部API,並得以關閉某些防護措施,
這個漏洞似乎讓卡巴斯基頗為頭大,前後陸續修補了三次
文/林妍溱 | 2019-11-27發表
研究人員發現知名防毒軟體卡巴斯基(Kaspersky)產品,像是Kaspersky Internet Securi
ty 中的網頁防護(Web Protection)功能出現漏洞,可導致外部網站存取其內部API,進而
關閉對廣告及惡意程式的防護。而這個漏洞讓卡巴斯基補了好幾次,而且似乎還沒完全補好
。
Kaspersky Web Protection主要是用於過濾網站搜尋結果,可以封鎖廣告及線上追蹤程式,
還提供虛擬鍵盤以防止鍵盤側錄程式。研究人員Wladimir Palant說,Web Protection以瀏
覽器外掛運作,需要和卡巴斯基主程式通訊。理論上,Web Protection的瀏覽器script和主
程式間的通訊訊息,是採用外部網站無法看到的簽章值保護。但實際上,外部網站卻可以輕
易攔截到這個簽章值,能讓網站直接連線卡巴斯基主程式,假扮Web Protection傳送指令。
研究人員去年發現存在於瀏覽器外掛、編號為CVE-2019-15685的漏洞,攻擊者可以用這個漏
洞悄悄動手腳,像是關閉廣告封鎖或線上追蹤防護功能等等。
研究人員證實,Chrome和Firefox的外掛會洩露API,即使IE,也能透過發送惡意呼叫來暴露
API。不論用戶用哪個瀏覽器、是否安裝卡巴斯基的瀏覽器外掛,所有網站都能呼叫卡巴斯
基主程式。
原本這只是一個「發現漏洞->廠商修補漏洞」的平常過程,但此次卡巴斯基的修補似乎一波
三折。卡巴斯基今年7月釋出2020版卡巴斯基家族產品時,宣稱已經修補該漏洞。但研究人
員旋即發現愈補愈大洞。首先,研究人員說卡巴斯基只是限制了較強大的API call,但是網
站仍能用其他指令來控制主程式,而且還暴露了系統上卡巴斯基安裝的unique ID,進而提
供了用戶瀏覽器資訊,還能讓網站直接觸發卡巴斯基防毒行程當掉,使PC完全不設防。
隨後卡巴斯基又修補了兩次。第一次仍留下少數導致防毒軟體行程當掉的問題,直到本周最
新一次修補,才把洩露用戶資訊,以及關閉廣告、追蹤程式及防毒軟體的問題修補掉。但研
究人員指出,外部網站對卡巴斯基防毒主程式傳送指令依然存在,難保不會觸發有害行程。
不過卡巴斯基回覆ZDNET指出,目前已經修好卡巴斯基網頁防護元件及Google Chrome外掛的
安全問題,將透過自動更新程序發送到用戶端,只要重開機即可提供防護。
https://www.ithome.com.tw/news/134442