卡巴斯基产品有漏洞,恐遭其他网站关闭防护功能,官方连修三次
研究人员发现知名防毒软体卡巴斯基(Kaspersky)产品,像是Kaspersky Internet Security中的网页防护(Web Protection)功能出现漏洞,可导致外部网站存取其内部API,进而关闭对广告及恶意程式的防护。而这个漏洞让卡巴斯基补了好几次,而且似乎还没完全补好。
Kaspersky Web Protection主要是用于过滤网站搜寻结果,可以封锁广告及线上追踪程式,还提供虚拟键盘以防止键盘侧录程式。研究人员Wladimir Palant说,Web Protection以浏览器外挂运作,需要和卡巴斯基主程式通讯。理论上,Web Protection的浏览器script和主程式间的通讯讯息,是采用外部网站无法看到的签章值保护。但实际上,外部网站却可以轻易拦截到这个签章值,能让网站直接连线卡巴斯基主程式,假扮Web Protection传送指令。研究人员去年发现存在于浏览器外挂、编号为CVE-2019-15685的漏洞,攻击者可以用这个漏洞悄悄动手脚,像是关闭广告封锁或线上追踪防护功能等等。
研究人员证实,Chrome和Firefox的外挂会泄露API,即使IE,也能透过发送恶意呼叫来暴露API。不论用户用哪个浏览器、是否安装卡巴斯基的浏览器外挂,所有网站都能呼叫卡巴斯基主程式。
原本这只是一个「发现漏洞->厂商修补漏洞」的平常过程,但此次卡巴斯基的修补似乎一波三折。卡巴斯基今年7月释出2020版卡巴斯基家族产品时,宣称已经修补该漏洞。但研究人员旋即发现愈补愈大洞。首先,研究人员说卡巴斯基只是限制了较强大的API call,但是网站仍能用其他指令来控制主程式,而且还暴露了系统上卡巴斯基安装的unique ID,进而提供了用户浏览器资讯,还能让网站直接触发卡巴斯基防毒行程当掉,使PC完全不设防。
随后卡巴斯基又修补了两次。第一次仍留下少数导致防毒软体行程当掉的问题,直到本周最新一次修补,才把泄露用户资讯,以及关闭广告、追踪程式及防毒软体的问题修补掉。但研究人员指出,外部网站对卡巴斯基防毒主程式传送指令依然存在,难保不会触发有害行程。
不过卡巴斯基回覆ZDNET指出,目前已经修好卡巴斯基网页防护元件及Google Chrome外挂的安全问题,将透过自动更新程序发送到用户端,只要重开机即可提供防护。
标签: 互联网
