Η επέκταση του Chrome AVG Web TuneUp που προστίθεται στο προγράμματα περιήγησης με την εγκατάσταση του AVG antivirus, περιείχε ένα σοβαρό σφάλμα που επέτρεψε στους επιτιθέμενους να αποκτήσουν το ιστορικό περιήγησης του χρήστη, τα cookies, και άλλα.
Η ευπάθεια ανακαλύφθηκε από τον ερευνητή ασφαλείας του Google Project Zero, Tavis Ormandy, ο οποίος συνεργάστηκε με την AVG τις τελευταίες δύο εβδομάδες για να διορθώσουν το πρόβλημα.
Όπως δήλωσε ο κ Ormandy στην έκθεσή του σφάλματος, η επέκταση AVG Web TuneUp, η οποία απαριθμεί πάνω από εννέα εκατομμύρια χρήστες στη σελίδα του Chrome Web Store, ήταν ευάλωτη σε XSS (cross-site scripting) επιθέσεις.
Οι επιτιθέμενοι που γνώριζαν αυτό το κενό ασφαλείας ήταν σε θέση να έχουν πρόσβαση στα cookies του χρήστη, το ιστορικό περιήγησης, καθώς και διάφορες άλλες λεπτομέρειες που εκτίθενται μέσω του Chrome.
Κατά τη διάρκεια της έρευνάς του, ο κ Ormandy ανακάλυψε ότι πολλά από τα custom JavaScript APIs, που προστίθενται στο Chrome από την επέκταση είναι υπεύθυνα για το σφάλμα, επιτρέποντας στους επιτιθέμενους να έχουν πρόσβαση σε προσωπικά στοιχεία.
Η νέα έκδοση 4.2.5.169 του AVG TuneUp Web επιλύει το ζήτημα. Εν τω μεταξύ, η Google μπλοκάρει το AVG να πραγματοποιήσει inline εγκαταστάσεις αυτής της επέκτασης. Αυτό σημαίνει ότι οι χρήστες που θέλουν να την εγκαταστήσουν θα πρέπει να την αναζητήσουν στο Chrome Web Store.
