AVG-toolbar maakte aanval op Internet Explorer-gebruikers mogelijk

De toolbar van de beveiligingssoftware AVG zorgde ervoor dat gebruikers van Internet Explorer juist aan meer risico's werden blootgesteld. Gebruikers van de toolbar waren kwetsbaar voor een aanval waarbij ActiveX-objecten werden ingezet.

Door het beveiligingsprobleem kon een aanvaller in de praktijk code uitvoeren op het systeem van een gebruiker, waarschuwen onderzoekers van de Carnegie Mellon-universiteit. Daarvoor zou een gebruiker ertoe wel moeten worden verleid om een pagina te openen waarop code aanwezig is die de kwetsbaarheid misbruikt. Ironisch genoeg is de toolbar juist bedoeld om te voorkomen dat gebruikers worden aangevallen vanaf websites.

Het beveiligingsprobleem werd veroorzaakt door meerdere fouten van de makers van de toolbar. Elke website kon in de praktijk een ActiveX-object aanroepen dat werd meegeleverd met de software. Bovendien draait het object niet in de sandbox van Internet Explorer en hoeven gebruikers niet eerst te klikken voordat het object wordt geactiveerd, waardoor code automatisch wordt uitgevoerd.

De makers van AVG hebben in een update voor de toolbar, die met veel gratis software wordt meegeleverd, een beperking ingebouwd waardoor alleen websites van AVG de functionaliteit mogen aanspreken. Wie zich helemaal vrij wil waren voor het beveiligingsprobleem, kan het getroffen ActiveX-object uitgeschakelen.

AVG logo (75 pix)