卡巴斯基防毒產品出現漏洞，可導致外部網站存取其內部API，並得以關閉某些防護措施， 這個漏洞似乎讓卡巴斯基頗為頭大，前後陸續修補了三次 文/林妍溱 | 2019-11-27發表 研究人員發現知名防毒軟體卡巴斯基（Kaspersky）產品，像是Kaspersky Internet Securi ty 中的網頁防護（Web Protection）功能出現漏洞，可導致外部網站存取其內部API，進而 關閉對廣告及惡意程式的防護。而這個漏洞讓卡巴斯基補了好幾次，而且似乎還沒完全補好 。 Kaspersky Web Protection主要是用於過濾網站搜尋結果，可以封鎖廣告及線上追蹤程式， 還提供虛擬鍵盤以防止鍵盤側錄程式。研究人員Wladimir Palant說，Web Protection以瀏 覽器外掛運作，需要和卡巴斯基主程式通訊。理論上，Web Protection的瀏覽器script和主 程式間的通訊訊息，是採用外部網站無法看到的簽章值保護。但實際上，外部網站卻可以輕 易攔截到這個簽章值，能讓網站直接連線卡巴斯基主程式，假扮Web Protection傳送指令。 研究人員去年發現存在於瀏覽器外掛、編號為CVE-2019-15685的漏洞，攻擊者可以用這個漏 洞悄悄動手腳，像是關閉廣告封鎖或線上追蹤防護功能等等。 研究人員證實，Chrome和Firefox的外掛會洩露API，即使IE，也能透過發送惡意呼叫來暴露 API。不論用戶用哪個瀏覽器、是否安裝卡巴斯基的瀏覽器外掛，所有網站都能呼叫卡巴斯 基主程式。 原本這只是一個「發現漏洞->廠商修補漏洞」的平常過程，但此次卡巴斯基的修補似乎一波 三折。卡巴斯基今年7月釋出2020版卡巴斯基家族產品時，宣稱已經修補該漏洞。但研究人 員旋即發現愈補愈大洞。首先，研究人員說卡巴斯基只是限制了較強大的API call，但是網 站仍能用其他指令來控制主程式，而且還暴露了系統上卡巴斯基安裝的unique ID，進而提 供了用戶瀏覽器資訊，還能讓網站直接觸發卡巴斯基防毒行程當掉，使PC完全不設防。 隨後卡巴斯基又修補了兩次。第一次仍留下少數導致防毒軟體行程當掉的問題，直到本周最 新一次修補，才把洩露用戶資訊，以及關閉廣告、追蹤程式及防毒軟體的問題修補掉。但研 究人員指出，外部網站對卡巴斯基防毒主程式傳送指令依然存在，難保不會觸發有害行程。 不過卡巴斯基回覆ZDNET指出，目前已經修好卡巴斯基網頁防護元件及Google Chrome外掛的 安全問題，將透過自動更新程序發送到用戶端，只要重開機即可提供防護。 https://www.ithome.com.tw/news/134442 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.35.218.157 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1574842373.A.5F3.html