Avast s’est gardé de toute annonce officielle concernant la faille corrigée la semaine passée dans ses solutions antivirus ; pas Tavis Ormandy.
Cet expert en sécurité informatique membre de l’équipe Project Zero – montée par Google à l’été 2014 pour détecter les vulnérabilités dans les principaux logiciels du marché – avait notifié l’éditeur tchèque de la vulnérabilité en question le 25 septembre 2015. Il aura fallu six jours pour qu’un patch soit déployé.
Le problème se trouvait dans la composante qu’Avast utilise pour analyser le trafic chiffré entrant dans les navigateurs Internet.
En cause, une mauvaise gestion des certificats X.509. Lorsqu’une signature incorrecte est détectée, leur attribut commonName (CN, qui sert à vérifier que c’est bien le bon hôte qui tente de s’authentifier) est rendu dans un cadre HTML.
Il suffit donc d’y insérer du code malveillant… en sachant toutefois que l’antivirus peut, dans certaines mesures, afficher des avertissements d’exécution du code. Les pirates préféreront donc s’appuyer sur un lien d’apparence anodine qui, lui, redirigera vers une charge utile.
La preuve de concept (PoC) et la documentation associée sont accessibles à cette adresse.
Tavis Ormandy s’était déjà distingué sur le dossier antivirus. Il avait déniché, au printemps, une faille critique dans le moteur d’émulation utilisé par les logiciels ESET pour contrôler toute code exécutable repéré lors de l’analyse des entrées/sorties de données sur le disque.
Crédit photo : wk1003mike – Shutterstock.com
(capture d’écran : Tavis Ormandy)
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…
Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…