Les chercheurs en sécurité de Google ont découvert une faille de conception potentielle dans le logiciel antivirus d'Avast qui aurait pu être utilisé pour pirater à distance un PC.
Lundi, le chercheur de Google Tavis Ormandy le problème, qui concerne le moteur antivirus d'Avast AvastSvc.exe.
Le programme est conçu pour analyser les données non fiables de votre ordinateur dans les fichiers locaux et le trafic réseau à la recherche de logiciels malveillants suspects.
Cependant, Ormandy a remarqué qu'il était peut-être possible de tromper AvastSvc.exe pour qu'il exécute un code malveillant.
En effet, le même programme a les privilèges système les plus élevés et fonctionnera également sans aucune isolation du reste du système d'exploitation.
Bien qu'il soit hautement privilégié et qu'il traite des entrées non fiables de par sa conception, il est sans bac à sable et a une faible couverture d'atténuation.
Toutes les vulnérabilités dans ce processus sont critiques , a écrit Ormandy dans son article à propos du défaut de conception.
Le risque est aggravé par la manière dont AvastSvc.exe dispose d'un interpréteur intégré pour lire et exécuter les fichiers Javascript, qui sont utilisés sur les pages Web.
Avast dit que l'interpréteur est conçu pour agir comme un émulateur, vraisemblablement pour que le logiciel puisse exécuter un fichier Javascript pour vérifier s'il est malveillant.
Néanmoins, le même émulateur donne aux cybercriminels un moyen potentiel de manipuler AvastSvc.exe.
La principale préoccupation est de savoir si un pirate informatique découvrait un jour un bogue sérieux dans le logiciel antivirus d'Avast; il pourrait alors potentiellement piéger des fichiers Javascript sur des sites Web ou des e-mails pour les exploiter.
"Si vous trouvez une vulnérabilité, elle est probablement critique et vermifuge", a ajouté Ormandy dans son message.
Ce n'est pas la première fois qu'Ormandy met en garde contre de telles menaces.
En 2017, lui et la chercheuse en sécurité de Google, Natalie Silvanovich, ont découvert une vulnérabilité similaire dans Windows Defender de Microsoft; si le logiciel analysait un fichier spécialement conçu, Windows Defender pourrait être automatiquement déclenché pour exécuter un code informatique malveillant.
"C'est complètement mauvais", a tweeté Ormandy à l'époque.
Heureusement, Microsoft n'a pas tardé à déployer un correctif.
Dans le cas d'Avast, le fournisseur d'antivirus a décidé de fermer l'émulateur Javascript dans le programme AvastSvc.exe afin de corriger la faille de conception potentielle.
"Cela n'affectera pas la fonctionnalité de notre produit AV (antivirus), qui est basé sur plusieurs couches de sécurité", a déclaré la société à Daxdi dans un communiqué.
Sur Twitter, Avast aussi la menace était plus théorique.
La société a corrigé le problème après qu'Ormandy et Silvanovich ont envoyé un rapport à la société d'antivirus sur le défaut de conception la semaine dernière.
Pour peut-être pousser Avast à agir, Ormandy a également créé un outil public pour aider les utilisateurs intéressés à analyser l'émulateur Javascript dans AvastSvc.exe à la recherche de failles.
