Project Zero: Avast deaktiviert Javascript in Sicherheitssoftware

Der Antivirensoftware-Hersteller Avast reagiert auf eine schwerwiegende Sicherheitslücke, die von Googles Project Zero entdeckt wurde.

Artikel veröffentlicht am ,
Avast schaltet Javascript-Komponente ab.
Avast schaltet Javascript-Komponente ab. (Bild: Gerd Altmann/Pixabay)

"Kostenloser Virenschutz, der Sie nicht im Stich lässt", bewirbt Avast seine gleichnamige Antivirensoftware. In der Javascript-Engine der Software lauerte jedoch eine derart schwerwiegende Sicherheitslücke, dass Angreifer kurzerhand den Rechner übernehmen konnten. Entdeckt hatten die Lücke Tavis Ormandy und Natalie Silvanovich von Googles Sicherheitsinitiative Project Zero. Avast hat die Komponente nun abgeschaltet. Erst kürzlich stand Avast in der Kritik, weil es über eine Tochterfirma mit detaillierten Nutzerdaten gehandelt hatte. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. System Engineer (m/w/d) für Datacenter
    Schweickert GmbH, Walldorf
  2. Technische Referenten (m/w/d) - Abteilung Informationsfreiheitsgesetz, Technologischer Datenschutz, ... (m/w/d)
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Bonn
Detailsuche

Die Javascript-Engine ist eine zentrale Komponente der Antivirensoftware, sie analysiert Javascript-Code auf Schadsoftware. Laut Ormandy läuft der Prozess mit Systemrechten und ist in keinster Weise geschützt, beispielsweise gibt es keine Sandbox. Es reiche daher, einem Benutzer eine Javascript- oder WSH-Datei mit Schadcode zukommen zu lassen, beispielsweise per E-Mail. Diese würde zur Prüfung von Avasts Javascript-Engine ausgeführt - mit Systemrechten, betont Ormandy.

"Alle Schwachstellen in diesem Prozess sind kritisch und für entfernte Angreifer leicht zugänglich", erklärt Ormandy. Mit der Sicherheitslücke war es daher möglich, Code aus der Ferne mit Systemrechten ausführen zu lassen und Rechner, auf denen die Avast-Software installiert ist, zu übernehmen.

"Die Schwachstelle könnte möglicherweise dazu missbraucht worden sein, um aus der Ferne Code auszuführen", bestätigte Avast die Sicherheitslücke auf Anfrage von Golem.de. Avast wisse von der Sicherheitslücke seit dem 4. März. Am 9. März habe Ormandy ein Tool veröffentlicht, mit dem sie sich leichter ausnutzen lässt. "Wir haben das Problem durch die Deaktivierung des Emulators behoben, um sicherzustellen, dass unsere Hunderte von Millionen an Nutzern vor jeglichen Angriffen geschützt sind", erklärte Avast. Die Funktionalität der AV-Software sei dadurch nicht beeinträchtigt.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Entdeckt hatte Ormandy die Sicherheitslücke mit Hilfe eines Tools, das er selbstgeschrieben und 2017 veröffentlicht hatte. Damit ist es möglich, Windows-DLL-Bibliotheken unter Linux auszuführen und zu fuzzen, also mit zufälligen Eingaben zu penetrieren und dadurch Fehler zu finden. Mit dem Tool hatte Ormandy bereits Sicherheitslücken in Microsofts Antiviren-Software entdeckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


menno 13. Mär 2020

Antivirensoftware sitzt ganz tief im System, damit Schädlinge sie nicht aushebeln können...

Olliar 13. Mär 2020

Ich hatte früher mal immer wieder Blus screens (BSOD) in meinem Windows. Irgendwann bekam...

Olliar 13. Mär 2020

Ich antworte mir mal selbst nach dem ichin einem anderen Newsportal gelesen habe...



Aktuell auf der Startseite von Golem.de
Bitkom
Kritik an EU-Vorgehen für einheitliche Ladebuchsen

Die EU-Kommission will einheitliche Ladebuchsen an Elektrogeräten wie Handys und Tablets. Der Bitkom fürchtet mehr Elektroschrott.

Bitkom: Kritik an EU-Vorgehen für einheitliche Ladebuchsen
Artikel
  1. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

  2. Kreative IT-Profis für den guten Zweck gesucht
     
    Kreative IT-Profis für den guten Zweck gesucht

    Médecins Sans Frontières und BCG Platinion suchen beim BCG Platinion Hackathon 2021 kreative Lösungen für Herausforderungen bei "Ärzte ohne Grenzen". Gestaltungswillige IT-Expert:innen sind eingeladen teilzunehmen.
    Sponsored Post von BCG-Plationion

  3. Indiegogo: Spielekonsole mit Switch-Dock unterstützt N64-Controller
    Indiegogo
    Spielekonsole mit Switch-Dock unterstützt N64-Controller

    Der Odin erinnert stark an die Nintendo Switch. Das Gerät ist mit vielen Controllern kompatibel, etwa den Nintendo-64- und Gamecube-Pads.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Lenovo-Laptops zu Bestpreisen (u. a. Legion 15,6" Ryzen 7 RTX 3060 1.149€) • Alternate-Deals (u. a. Emtec 120GB SSD 16,29€) • Dualsense-Ladestation 35,99€ • Asus 27" WQHD 144Hz 260,91€ [Werbung]
    •  /