• IT-Karriere:
  • Services:

Project Zero: Avast deaktiviert Javascript in Sicherheitssoftware

Der Antivirensoftware-Hersteller Avast reagiert auf eine schwerwiegende Sicherheitslücke, die von Googles Project Zero entdeckt wurde.

Artikel veröffentlicht am ,
Avast schaltet Javascript-Komponente ab.
Avast schaltet Javascript-Komponente ab. (Bild: Gerd Altmann/Pixabay)

"Kostenloser Virenschutz, der Sie nicht im Stich lässt", bewirbt Avast seine gleichnamige Antivirensoftware. In der Javascript-Engine der Software lauerte jedoch eine derart schwerwiegende Sicherheitslücke, dass Angreifer kurzerhand den Rechner übernehmen konnten. Entdeckt hatten die Lücke Tavis Ormandy und Natalie Silvanovich von Googles Sicherheitsinitiative Project Zero. Avast hat die Komponente nun abgeschaltet. Erst kürzlich stand Avast in der Kritik, weil es über eine Tochterfirma mit detaillierten Nutzerdaten gehandelt hatte. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, verschiedene Standorte
  2. DB Vertrieb GmbH, Frankfurt (Main)

Die Javascript-Engine ist eine zentrale Komponente der Antivirensoftware, sie analysiert Javascript-Code auf Schadsoftware. Laut Ormandy läuft der Prozess mit Systemrechten und ist in keinster Weise geschützt, beispielsweise gibt es keine Sandbox. Es reiche daher, einem Benutzer eine Javascript- oder WSH-Datei mit Schadcode zukommen zu lassen, beispielsweise per E-Mail. Diese würde zur Prüfung von Avasts Javascript-Engine ausgeführt - mit Systemrechten, betont Ormandy.

"Alle Schwachstellen in diesem Prozess sind kritisch und für entfernte Angreifer leicht zugänglich", erklärt Ormandy. Mit der Sicherheitslücke war es daher möglich, Code aus der Ferne mit Systemrechten ausführen zu lassen und Rechner, auf denen die Avast-Software installiert ist, zu übernehmen.

"Die Schwachstelle könnte möglicherweise dazu missbraucht worden sein, um aus der Ferne Code auszuführen", bestätigte Avast die Sicherheitslücke auf Anfrage von Golem.de. Avast wisse von der Sicherheitslücke seit dem 4. März. Am 9. März habe Ormandy ein Tool veröffentlicht, mit dem sie sich leichter ausnutzen lässt. "Wir haben das Problem durch die Deaktivierung des Emulators behoben, um sicherzustellen, dass unsere Hunderte von Millionen an Nutzern vor jeglichen Angriffen geschützt sind", erklärte Avast. Die Funktionalität der AV-Software sei dadurch nicht beeinträchtigt.

Entdeckt hatte Ormandy die Sicherheitslücke mit Hilfe eines Tools, das er selbstgeschrieben und 2017 veröffentlicht hatte. Damit ist es möglich, Windows-DLL-Bibliotheken unter Linux auszuführen und zu fuzzen, also mit zufälligen Eingaben zu penetrieren und dadurch Fehler zu finden. Mit dem Tool hatte Ormandy bereits Sicherheitslücken in Microsofts Antiviren-Software entdeckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 27,99€
  2. (-83%) 6,99€
  3. (-74%) 15,99€
  4. 69,99€ (Release am 10. April)

menno 13. Mär 2020 / Themenstart

Antivirensoftware sitzt ganz tief im System, damit Schädlinge sie nicht aushebeln können...

Olliar 13. Mär 2020 / Themenstart

Ich hatte früher mal immer wieder Blus screens (BSOD) in meinem Windows. Irgendwann bekam...

Olliar 13. Mär 2020 / Themenstart

Ich antworte mir mal selbst nach dem ichin einem anderen Newsportal gelesen habe...

Kommentieren


Folgen Sie uns
       


Eichrechtskonforme Ladesäule von Allego getestet

Spezielle Module erlauben eine eichrechtskonforme Nutzung von Ladesäulen. Doch sie stellen ein Sicherheitsrisiko dar.

Eichrechtskonforme Ladesäule von Allego getestet Video aufrufen
Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad

Videostreaming: So verändert Disney+ auch Netflix, Prime Video und Sky
Videostreaming
So verändert Disney+ auch Netflix, Prime Video und Sky

Der Markt für Videostreamingabos in Deutschland ist jetzt anders: Mit dem Start von Disney+ erhalten Amazon Prime Video, Netflix sowie Sky Ticket ganz besondere Konkurrenz.
Von Ingo Pakalski

  1. Disney+ Surround-Ton nur auf drei Fire-TV-Modellen
  2. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  3. Coronavirus-Krise Disney+ startet mit reduzierter Streaming-Bitrate

    •  /