Un investigador detectó una vulnerabilidad XSS en la herramienta Avast Desktop Antivirus para Windows, informando que incluso le valió una recompensa considerable.
En una publicación de blog de Medium , un investigador de seguridad destacó una vulnerabilidad XSS en el Avast Desktop Antivirus que descubrió a principios de este año. Según sus hallazgos, un atacante podría simplemente desencadenar la vulnerabilidad con SSID WiFi.
En resumen, descubrió que un atacante potencial podría incluir una carga maliciosa en un nombre SSID. Luego, si un dispositivo Windows que ejecuta el antivirus Avast se conectara a esta red, el antivirus ejecutaría el XSS. El exploit básicamente funcionó debido a una característica en el programa antivirus Avast para Windows.
Por defecto, el programa muestra una notificación emergente cada vez que el dispositivo intenta conectarse a una red WiFi.
Como solía mostrar el nombre SSID sin desinfección, era posible que cualquier atacante potencial inyectara una carga maliciosa en el nombre SSID, que luego se ejecutaría. Después de la ejecución del script, la notificación emergente mostrará un mensaje de inicio de sesión falso creado por el atacante.
Dado que el usuario objetivo no vería ninguna URL, es más probable que la víctima crea que es seguro ingresar sus credenciales de inicio de sesión. Para mayor aclaración, el investigador demostró el ataque en el siguiente video. Avast recibió una recompensa de $ 5000 Después de descubrir la vulnerabilidad, el investigador YoKo Kho informó el asunto a Avast. La firma reconoció de inmediato la falla y luego confirmó que era una vulnerabilidad grave.
¡Posteriormente, Avast otorgó una recompensa de $ 5000 al investigador! La vulnerabilidad no solo afectó a Avast sino también a AVG. Por lo tanto, los defectos han recibido los números CVE CVE-2019-18653 para Avast y CVE-2019-18654 para AVG. Además, la empresa también corrigió la vulnerabilidad con el lanzamiento de Avast 19.4.
Fecha actualización el 2021-11-11. Fecha publicación el 2019-11-11. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: latesthackingnews Version movil