Kaspersky解决了在线保护解决方案中的多个问题

Kaspersky已修复影响其某些安全产品中实现的Web保护功能的多个漏洞，包括Internet安全，总体安全、免费防病毒、安全云和小型办公室安全产品。

安全研究员Wladimir Palant发现了这些漏洞，并于2018年12月向Kaspersky报告了这些漏洞。

该问题影响到Kaspersky公司的安全产品使用的阻止广告和跟踪器的Web保护功能，并警告用户恶意搜索结果等。

Kaspersky利用可选浏览器扩展来实现这些功能。如果未安装浏览器扩展，Kaspersky解决方案会将脚本注入访问过的网页以执行相同的任务。

专家发表的帖子中写道：“Kaspersky的开发人员想出了一个解决方案。他们决定在应用程序和脚本之间共享一个秘密（在他们的代码中称为“签名”）。这个秘密值必须在建立连接时提供，本地服务器只有在收到正确的值时才会响应。” 

Palant证实可以确定用于保护注入的脚本和安全解决方案之间的通信的秘密值。了解该值可以让攻击者窃听通信量并操纵它向应用程序发送命令。

在攻击者控制下的网站可以使用机密值禁用广告屏蔽和跟踪保护。

今年7月，Kaspersky告诉Palant它已经解决了这个问题，但是研究人员发现该修复程序无法正常运行。

“2018年12月，我可以证明网站可以在所有可能的配置中劫持Kaspersky浏览器脚本与其主应用程序之间的通信。这使得网站可以通过多种方式操作应用程序，包括禁用广告屏蔽和跟踪保护功能。”

Kaspersky报告说，这些问题将于2019年7月得到解决。然而，进一步的调查显示，仅仅是更强大的API调用受到了限制，大部分仍然可以访问任何网站。更糟糕的是，新版本泄露了大量关于用户系统的数据，包括Kaspersky安装的唯一标识符。它还引入了一个问题，该问题使任何网站都可以触发应用程序崩溃，从而使用户无法获得防病毒保护。”

Kaspersky卡巴斯基最初提出的修复程序引入了一些新问题，这些新问题可以被利用来收集有关系统的信息。

专家还发现了一个DoS漏洞，恶意网站可能利用该漏洞使防病毒解决方案崩溃，使目标系统没有任何保护。

本周Kaspersky发表了一篇文章，确认帕兰特发现的所有问题都已修复。

“多亏了Wladimir Palant，我们能够显著增强脚本或插件与主应用程序之间通信通道的保护。” 帖子写道。

Kaspersky发表的公告写道：“Kaspersky实验室已修复Wladimir Palant在Kaspersky密码管理器中发现的安全问题，该问题可能导致第三方在未锁定状态下远程未经授权访问有关存储在保险库中的地址项的信息。保管库中的其他任何数据都不会受到损害。问题类别：数据泄漏。问题类型：信息披露。要利用此问题，攻击者需要诱使用户访问特制网页。” 

Palant同意大部分问题已解决，但指出网站仍然可以向卡巴斯基解决方案发送一些命令。

因此，本周将提供另一个补丁程序，这次崩溃将有望成为过去。但有一件事不会改变：网站仍然可以将命令发送到Kaspersky应用程序。他们能触发的所有功能都是无害的吗？我无法确定。”