Google scopre bug in due browser Chromium

Solitamente un antivirus dovrebbe proteggere l’utente durante la navigazione su Internet. In alcuni casi però il software stesso potrebbe causare problemi di sicurezza. Tavis Ormandy, ricercatore del team Google Project Zero, ha scoperto diverse vulnerabilità nei browser di Avast e Comodo basati su Chromium. Fortunatamente le due software house hanno rilasciato nuove versioni che correggono i bug rilevati.

Le moderne suite di sicurezza integrano vari strumenti che dovrebbero impedire l’installazione di malware e l’accesso ai dati personali. Avast Internet Security, Premier e Pro 2016 includono il browser SafeZone (noto anche come Avastium) che offre diversi filtri per malware, annunci pubblicitari e pagine con scarsa reputazione. Il ricercatore Google ha tuttavia scoperto una vulnerabilità che consente di accedere a qualsiasi file presente sul computer cliccando un link. Un malintenzionato potrebbe inoltre inviare una richiesta HTTP autenticata e leggere cookies, email e dati bancari online. Il bug, segnalato il 18 dicembre, è stato risolto con la nuova versione del 3 febbraio.

La vulnerabilità individuata da Ormandy nel browser Chromodo, incluso in Comodo Internet Security, è ancora più grave. Quando l’utente installa la suite di sicurezza, Chromodo viene impostato come browser predefinito, prendendo il posto di Chrome. Dal browser Google vengono importate automaticamente impostazioni, cookie e altro, disattivando la protezione “same origin”. Ciò permette l’esecuzione degli script ospitati su siti esterni, facilitando il furto dei dati personali. Anche in questo caso. la patch è stata rilasciata il 3 febbraio.

L’ultimo software preso di mira da Ormandy è Malwarebytes Anti-Malware. Gli aggiornamenti vengono scaricati attraverso una connessione HTTP, consentendo l’esecuzione di un attacco man-in-the-middle. Malwarebytes ha promesso la distribuzione della nuova versione (2.2.1) entro le prossime tre settimane.