Vulnerabilidad en Chrome
El investigador de Google, Tavis Ormandy, quiso hacer una observación a la firma checa AVG el pasado 15 de diciembre, y vio que la extensión se 'instala de manera forzada' en el navegador Chrome. Disponible en la Chrome Web Store, ésta se agrega cuando el usuario instala el antivirus o lo hace desde un módulo del mismo, con permisos de administrador.
Según ha informado la web Ars technica, Ormandy acusó a AVG de exponer la información de, por lo menos, 9 millones de usuarios de Chrome. Dicha extensión, revisa la reputación de los sitios web y ofrece opciones de protección a la privacidad.
La forma en que fue desarrollada deja vulnerables a los usuarios, ya que están expuestos a los ataques, pues para poder cambiar la página y los proveedores de búsquedas principales, la extensión contiene numerosas APIs JavaScript que la mayoría se encuentran rotas. Cuando un atacante se interesa por la información puede acceder a las cookies del sitio web de AVG, y también hacerse del historial e información privada de navegación.
Los ingenieros de AVG fueron informados de la vulnerabilidad, y el 28 de diciembre AVG habría resuelto la situación con un nuevo parche para la extensión. Pero parece ser que el parche no ha podido desplegarse ya que está siendo investigada una posible violación de la política de la Chrome Web Store. En respuesta a las declaraciones de Google, la firma checa ha confirmado que se producirá una actualización de forma automática en cuento sea posible.
Ambas partes se encuentran en una disputa que pone entre la espada y la pared a AVG y sus productos antivirus diseñados para, precisamente, evitar la exposición del usuario a los ataques. Lo más recomendable es que, si eres uno de los que lo tiene instalado e ignoras la existencia de AVG Web TuneUp en tu navegador, tengas cuidado.
Fuente
La forma en que fue desarrollada deja vulnerables a los usuarios, ya que están expuestos a los ataques, pues para poder cambiar la página y los proveedores de búsquedas principales, la extensión contiene numerosas APIs JavaScript que la mayoría se encuentran rotas. Cuando un atacante se interesa por la información puede acceder a las cookies del sitio web de AVG, y también hacerse del historial e información privada de navegación.
Los ingenieros de AVG fueron informados de la vulnerabilidad, y el 28 de diciembre AVG habría resuelto la situación con un nuevo parche para la extensión. Pero parece ser que el parche no ha podido desplegarse ya que está siendo investigada una posible violación de la política de la Chrome Web Store. En respuesta a las declaraciones de Google, la firma checa ha confirmado que se producirá una actualización de forma automática en cuento sea posible.
Ambas partes se encuentran en una disputa que pone entre la espada y la pared a AVG y sus productos antivirus diseñados para, precisamente, evitar la exposición del usuario a los ataques. Lo más recomendable es que, si eres uno de los que lo tiene instalado e ignoras la existencia de AVG Web TuneUp en tu navegador, tengas cuidado.
Fuente
No hay comentarios:
Publicar un comentario
Puedes comentar todo lo que quieras sin tener que registrarte. ¡¡ PRUÉBALO !!