Исследователь из команды Project Zero в компании Google Тейвис Орманди обнаружил несколько уязвимостей в браузерах, разработанных антивирусными компаниями. Эти уязвимости потенциально могут использоваться хакерами для атак на компьютеры.


В браузере Avastium от компании Avast он нашел «дыру», которая позволяет «читать любой файл в файловой системе нажатием на ссылку». Для ее использования злоумышленнику необходимо создать веб-страницу с кодом JavaScript, который сможет перехватывать куки и электронную почту. Эта уязвимость найдена в декабре и была закрыта третьего февраля в новой версии Avastium.

Браузер Chromodo от Comodo при установке перезаписывает все данные Chrome своими и должен защищать их, но на деле фишинговые сайты с вредоносными скриптами могут обращаться к ним незаметно для пользователя. По словам Comodo, проблему вызывает сторонний аддон, который убран в апдейте, вышедшем 3 февраля.

Браузер Malwarebytes скачивает обновления через незашифрованное соединение, а значит, пользователь может столкнуться с подменой файлов при перехвате трафика. Орманди сообщил разработчикам об этой уязвимости, но её устранение может затянуться на месяц.