Avast heeft een onderdeel van zijn antimalwarepakket voor Windows uitgeschakeld. Het onderdeel zorgde voor een significant beveiligingsrisico. Het softwarebedrijf schakelt de JavaScript-engine in zijn toolkit uit, nadat een medewerker van Google Project Zero de software-ontwikkelaar wees op fouten in de code.
Tavis Ormandy, een security-onderzoeker die deel uitmaakt van het Project Zero-team van Google, merkte de beveiligingsfout in de Avast JavaScript-engine op. Ormandy vond een remote code execution (RCE)-kwetsbaarheid in de software. Hij maakte bekend dat kwaadwillenden in staat zijn om gaten in de Avast JavaScript-engine te benutten, om zo toegang te krijgen tot de computer van een gebruiker. Zodra aanvallers toegang krijgen tot een computer, kunnen zij er malware op installeren.
“Ondanks dat de tool sterk bevoorrecht is en ontworpen is om onbetrouwbare input te verwerken, heeft Avasts JavaScript-engine geen sandboxbeveiliging en is er een slechte dekking van mitigaties”, zegt Ormandy over de beveiligingsfout in het Avast-softwarepakket. Om Avast-gebruikers te beschermen, maakt Ormandy niet bekend om welke specifieke bugs in de software het gaat.
Ingrijpende beslissing
Nadat de beveiligingsfout in de JavaScript-engine werd ontdekt, maakte Avast de ingrijpende beslissing om volledig met de tool te stoppen, zo meldt The Register. De JavaScript-engine analyseerde JavaScript-code om malware op te sporen, voordat browsers en e-mailprogramma’s de code verder uitvoerden.
Volgens Avast heeft het verwijderen van de tool geen hele grote impact op de werking van het complete beveiligingspakket. De software zou nog altijd goed in staat moeten zijn om malware op te sporen. Ormandy is tevreden over het snelle schakelen van Avast.
Lof vanuit de beveiligingcommunity is de laatste tijd zeldzaam voor Avast. Eerder deze week nog kreeg de verkoper van software het te verduren nadat het bekend werd dat zijn AntiTrack-tool beveiligingsblunders bevat. Ook kreeg Avast eerder dit jaar veel kritiek, toen bekend werd dat het bedrijf gebruikersdata verkocht. Daarmee is het bedrijf inmiddels gestopt.