Des bogues vieux de dix ans découverts dans Avast, le logiciel antivirus AVG

Les chercheurs ont révélé deux vulnérabilités très graves dans les produits antivirus Avast et AVG qui n’ont pas été détectées depuis dix ans.

Jeudi, SentinelOne a publié un avis de sécurité sur les défauts, suivis comme CVE-2022-26522 et CVE-2022-26523.

Avast a acquis AVG en 2016 pour 1,3 milliard de dollars. Selon la firme de cybersécurité, les vulnérabilités existent depuis 2012 et auraient donc pu affecter “des dizaines de millions d’utilisateurs dans le monde”.

CVE-2022-26522 et CVE-2022-26523 ont été trouvés dans le pilote Avast Anti Rootkit, introduit en janvier 2012 et également utilisé par AVG. La première vulnérabilité était présente dans un gestionnaire de connexion de socket utilisé par le pilote du noyau aswArPot.sys, et lors d’opérations de routine, un attaquant pouvait détourner une variable pour élever les privilèges.

Les produits de sécurité doivent fonctionner avec des niveaux de privilèges élevés, et ainsi les attaquants peuvent exploiter cette faille qui pourrait potentiellement désactiver les solutions de sécurité, altérer un système d’exploitation cible ou effectuer d’autres actions malveillantes.

La deuxième vulnérabilité, CVE-2022-26523, est décrite comme “très similaire” à CVE-2022-26522 et était présente dans la fonction aswArPot+0xc4a3.

“En raison de la nature de ces vulnérabilités, elles peuvent être déclenchées à partir de bacs à sable et pourraient être exploitables dans des contextes autres que la simple escalade de privilèges locaux”, a déclaré SentinelLabs. “Par exemple, les vulnérabilités pourraient être exploitées dans le cadre d’une attaque de navigateur de deuxième étape ou pour effectuer une évasion de bac à sable, entre autres possibilités.”

SentinelLabs a signalé les vulnérabilités à Avast le 20 décembre 2021. Le 4 janvier, le fournisseur de solutions de cybersécurité avait accusé réception du rapport et publié des correctifs dans Avast v.22.1 pour traiter les vulnérabilités après le triage.

Les vulnérabilités ont été corrigées le 11 février. SentinelLabs a déclaré qu’il n’y avait aucune preuve d’exploitation active dans la nature.

ZDNet recommande


Les meilleurs logiciels et applications antivirus

Les meilleurs logiciels et applications antivirus

Un tour d’horizon des meilleurs logiciels et applications pour les ordinateurs Windows et Mac, ainsi que les appareils iOS et Android, pour vous protéger des logiciels malveillants et des virus.

Les utilisateurs doivent avoir reçu automatiquement les mises à jour nécessaires et n’ont pas besoin de prendre d’autres mesures.

“L’impact que cela pourrait avoir sur les utilisateurs et les entreprises qui ne parviennent pas à appliquer les correctifs est considérable et significatif”, a ajouté la société. “Nous tenons à remercier Avast pour son approche de notre divulgation et pour avoir rapidement corrigé les vulnérabilités.”

Avast a déclaré à ZDNet :

“Avast participe activement au processus coordonné de divulgation des vulnérabilités, et nous apprécions que SentinelOne ait travaillé avec nous et fourni une analyse détaillée des vulnérabilités identifiées. SentinelOne a signalé deux vulnérabilités, désormais suivies comme CVE-2022-26522 et CVE-2022- 26523, à nous le 20 décembre 2021.

Nous avons travaillé sur un correctif publié en version 22.1 en février 2022 et a informé SentinelOne de ce correctif appliqué. Les utilisateurs d’Avast et d’AVG ont été automatiquement mis à jour et sont protégés contre tout risque d’exploitation, bien que nous n’ayons pas vu les vulnérabilités abusées dans la nature. Nous recommandons à nos utilisateurs Avast et AVG de mettre constamment à jour leur logiciel vers la dernière version pour être protégés. La divulgation coordonnée est un excellent moyen d’éviter que les risques ne se traduisent par des attaques, et nous encourageons la participation à notre programme de primes de bogues.”

Couverture précédente et connexe


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment