Η δημοφιλής γραμμή εργαλείων περιήγησης AVG Secure Search Toolbar, η οποία παρέχεται από την AVG Τechnologies και υποτίθεται ότι προστατεύει τους χρήστες από κακόβουλες ιστοσελίδες, αποδείχτηκε μη ασφαλής, καθώς θα μπορούσε να επιτρέψει την εκτέλεση αυθαίρετου κώδικα από κάποιον πιθανό εισβολέα.
Το συγκεκριμένο toolbar, γνωστό και ως AVG SafeGuard, προσφέρεται προαιρετικά για εγκατάσταση μαζί με δημοφιλή, δωρεάν, προγράμματα λογισμικού.
Σύμφωνα με ερευνητές της Ομάδας Αντιμετώπισης Περιστατικών Ασφάλειας (CERT/CC) του Πανεπιστημίου Carnegie Mellon, η έκδοση 18.1.6 του AVG Secure Search και AVG SafeGuard, καθώς και οι προγενένεστερες εκδόσεις, εγκαθιστούν στον Ιnternet Explorer ένα ActiveX control με την ονομασία ScriptHelperApi, το οποίο χρησιμοποιεί μη ασφαλείς μεθόδους για τη λειτουργία του.
“Το συγκεκριμένο ActiveX control έχει χαρακτηριστεί ως “Safe for Scripting” στον Internet Explorer, που σημαίνει ότι δεν μπορεί να αναδιαμορφωθεί από έναν εισβολέα. Επειδή τo control αυτό δεν επιβάλει εσωτερικά τυχόν περιορισμούς σχετικά με το ποια sites μπορούν να καλέσουν τις μεθόδους του (όπως με τη χρήση του template SiteLock) αυτό σημαίνει ότι οποιαδήποτε ιστοσελίδα μπορεί να επικαλεστεί τις μεθόδους που εκτίθενται από το ScriptHelper ActiveX control”, αναφέρει ο Will Dormann σε ένα blog post.
Η AVG επιβεβαίωσε την ευπάθεια, και τόνισε ότι επηρεάζει μόνο τους χρήστες του Internet Explorer. Η εταιρεία αντιμετώπισε το ζήτημα στην έκδοση 18.1.7 του AVG Secure Search Toolbar που κυκλοφόρησε στα τέλη Μαΐου ως μια ενημέρωση για τους υπάρχοντες χρήστες και στην τελευταία έκδοση (18.1.8) που διατέθηκε στους νέους χρήστες την 1η Ιουνίου.
Για περισσότερες πληροφορίες σχετικά με την ευπάθεια, μπορείτε να επισκεφτείτε την ιστοσελίδα της ομάδας CERΤ του Πανεπιστημίου του Carnegie Mellon.