Vladimir Palant, mpamorona ny Adblock Plus, () ao amin'ny tranokala Safepay manokana mifototra amin'ny motera Chromium, atolotra ho ampahany amin'ny fonosana antivirus Bitdefender Total Security 2020 ary mikendry ny hampitombo ny fiarovana ny asan'ny mpampiasa amin'ny tambajotra manerantany (ohatra, ny fitokanana fanampiny dia omena rehefa miditra amin'ny banky sy rafitra fandoavam-bola). Ny vulnerability dia ahafahan'ny vohikala misokatra amin'ny navigateur manatanteraka fehezan-dalàna tsy ara-dalàna eo amin'ny sehatry ny rafitra miasa.
Ny anton'ny olana dia ny Bitdefender antivirus dia manao fisakanana eo an-toerana amin'ny fifamoivoizana HTTPS amin'ny fanoloana ny taratasy fanamarinana TLS tany am-boalohany. Apetraka amin'ny rafitry ny mpanjifa ny taratasy fanamarinana faka fanampiny, izay ahafahana manafina ny fiasan'ny rafitra fanaraha-maso ny fifamoivoizana ampiasaina. Ny antivirus dia mitsatoka amin'ny fifamoivoizana voaaro ary mampiditra ny kaody JavaScript ao amin'ny pejy sasany mba hampiharana ny asa Safe Search, ary raha misy olana amin'ny taratasy fanamarinana fifandraisana azo antoka, dia soloiny amin'ny azy ny pejin'ny fahadisoana naverina. Koa satria ny pejin'ny hadisoana vaovao dia omena amin'ny anaran'ny mpizara misokatra, ny pejy hafa amin'io mpizara io dia manana fidirana feno amin'ny atiny nampidirin'i Bitdefender.
Rehefa manokatra tranokala fehezin'ny mpanafika, io tranokala io dia afaka mandefa XMLHttpRequest ary mody olana amin'ny fanamarinana HTTPS rehefa mamaly, izay hitarika amin'ny fiverenan'ny pejy diso nosoloin'i Bitdefender. Koa satria misokatra amin'ny tontolon'ny sahan'ny mpanafika ny pejin'ny hadisoana, dia azony atao ny mamaky ny votoatin'ny pejy voasokajy miaraka amin'ny masontsivana Bitdefender. Ny pejy nomen'i Bitdefender dia misy fanalahidin'ny session ihany koa izay ahafahanao mampiasa ny API Bitdefender anatiny hananganana fivoriana navigateur Safepay mitokana, manondro sainam-baiko tsy misy dikany, ary handefa baiko rafitra rehetra mampiasa ny "--utility-cmd-prefix" saina. Ohatra iray amin'ny fanararaotana (param1 sy param2 dia sanda azo avy amin'ny pejy diso):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Tsarovy fa nisy fianarana natao tamin’ny 2017 fa ny 24 amin'ny 26 nosedraina ny antivirus izay manara-maso ny fifamoivoizana HTTPS amin'ny alàlan'ny fanambakana taratasy fanamarinana dia nampihena ny haavon'ny fiarovana amin'ny fifandraisana HTTPS.
Ny 11 amin'ireo vokatra 26 ihany no nanome suite cipher ankehitriny. Ny rafitra 5 dia tsy nanamarina ny fanamarinana (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Niharan'ny fanafihana ny vokatra Kaspersky Internet Security sy Total Security , ary ny vokatra AVG, Bitdefender ary Bullguard dia voatafika и . Dr.Web Antivirus 11 dia mamela anao hiverina amin'ny fanondranana ciphers tsy azo itokisana (attack ).
Source: opennet.ru