Avast s’est gardé de toute annonce officielle concernant la faille corrigée la semaine passée dans ses solutions antivirus ; pas Tavis Ormandy.
Cet expert en sécurité informatique membre de l’équipe Project Zero – montée par Google à l’été 2014 pour détecter les vulnérabilités dans les principaux logiciels du marché – avait notifié l’éditeur tchèque de la vulnérabilité en question le 25 septembre 2015. Il aura fallu six jours pour qu’un patch soit déployé.
Le problème se trouvait dans la composante qu’Avast utilise pour analyser le trafic chiffré entrant dans les navigateurs Internet.
En cause, une mauvaise gestion des certificats X.509. Lorsqu’une signature incorrecte est détectée, leur attribut commonName (CN, qui sert à vérifier que c’est bien le bon hôte qui tente de s’authentifier) est rendu dans un cadre HTML.
Il suffit donc d’y insérer du code malveillant… en sachant toutefois que l’antivirus peut, dans certaines mesures, afficher des avertissements d’exécution du code. Les pirates préféreront donc s’appuyer sur un lien d’apparence anodine qui, lui, redirigera vers une charge utile.
La preuve de concept (PoC) et la documentation associée sont accessibles à cette adresse.
Tavis Ormandy s’était déjà distingué sur le dossier antivirus. Il avait déniché, au printemps, une faille critique dans le moteur d’émulation utilisé par les logiciels ESET pour contrôler toute code exécutable repéré lors de l’analyse des entrées/sorties de données sur le disque.
Crédit photo : wk1003mike – Shutterstock.com
(capture d’écran : Tavis Ormandy)
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…