Original-URL des Artikels: https://www.golem.de/news/project-zero-avast-deaktivert-javascript-in-sicherheitssoftware-2003-147209.html    Veröffentlicht: 12.03.2020 13:25    Kurz-URL: https://glm.io/147209

Project Zero

Avast deaktiviert Javascript in Sicherheitssoftware

Der Antivirensoftware-Hersteller Avast reagiert auf eine schwerwiegende Sicherheitslücke, die von Googles Project Zero entdeckt wurde.

"Kostenloser Virenschutz, der Sie nicht im Stich lässt", bewirbt Avast seine gleichnamige Antivirensoftware. In der Javascript-Engine der Software lauerte jedoch eine derart schwerwiegende Sicherheitslücke, dass Angreifer kurzerhand den Rechner übernehmen konnten. Entdeckt hatten die Lücke Tavis Ormandy und Natalie Silvanovich von Googles Sicherheitsinitiative Project Zero. Avast hat die Komponente nun abgeschaltet. Erst kürzlich stand Avast in der Kritik, weil es über eine Tochterfirma mit detaillierten Nutzerdaten gehandelt hatte. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Die Javascript-Engine ist eine zentrale Komponente der Antivirensoftware, sie analysiert Javascript-Code auf Schadsoftware. Laut Ormandy läuft der Prozess mit Systemrechten und ist in keinster Weise geschützt, beispielsweise gibt es keine Sandbox. Es reiche daher, einem Benutzer eine Javascript- oder WSH-Datei mit Schadcode zukommen zu lassen, beispielsweise per E-Mail. Diese würde zur Prüfung von Avasts Javascript-Engine ausgeführt - mit Systemrechten, betont Ormandy.

"Alle Schwachstellen in diesem Prozess sind kritisch und für entfernte Angreifer leicht zugänglich", erklärt Ormandy. Mit der Sicherheitslücke war es daher möglich, Code aus der Ferne mit Systemrechten ausführen zu lassen und Rechner, auf denen die Avast-Software installiert ist, zu übernehmen.

"Die Schwachstelle könnte möglicherweise dazu missbraucht worden sein, um aus der Ferne Code auszuführen", bestätigte Avast die Sicherheitslücke auf Anfrage von Golem.de. Avast wisse von der Sicherheitslücke seit dem 4. März. Am 9. März habe Ormandy ein Tool veröffentlicht, mit dem sie sich leichter ausnutzen lässt. "Wir haben das Problem durch die Deaktivierung des Emulators behoben, um sicherzustellen, dass unsere Hunderte von Millionen an Nutzern vor jeglichen Angriffen geschützt sind", erklärte Avast. Die Funktionalität der AV-Software sei dadurch nicht beeinträchtigt.

Entdeckt hatte Ormandy die Sicherheitslücke mit Hilfe eines Tools, das er selbstgeschrieben und 2017 veröffentlicht hatte. Damit ist es möglich, Windows-DLL-Bibliotheken unter Linux auszuführen und zu fuzzen, also mit zufälligen Eingaben zu penetrieren und dadurch Fehler zu finden. Mit dem Tool hatte Ormandy bereits Sicherheitslücken in Microsofts Antiviren-Software entdeckt.

 (mtr)


Verwandte Artikel:
Antiviren-Software: Kaspersky-Javascript ermöglichte Nutzertracking   
(15.08.2019, https://glm.io/143229 )
Datenverkauf: Avast überwacht den Browser und verkauft Nutzerdaten   
(28.01.2020, https://glm.io/146316 )
Google: Android-Hersteller bauen Fehler in Security-Funktionen ein   
(14.02.2020, https://glm.io/146639 )
Project Zero: Googles Bug-Jäger wollen weniger schludrige Patches   
(08.01.2020, https://glm.io/145943 )
Encryption software: German BSI withholds Truecrypt security report   
(16.12.2019, https://glm.io/145552 )

© 1997–2020 Golem.de, https://www.golem.de/