杀毒软件厂商AVG发布的一款Google Chrome插件,故意覆盖了浏览器的安全设置,致使用户数据暴露给恶意网站。这款名为AVG Web TuneUp的插件,本意是当用户访问不安全的网站或搜索结果时发出警告。但结果恰恰相反,该插件导致用户在访问恶意网站时,很容易遭受跨站脚本的攻击。
谷歌安全研究员Tavis Ormandy的研究结果表明:AVG插件的用户会发现系统中的浏览历史记录和个人数据很容易被恶意网站所窃取。Ormandy指出,因为该插件特意绕过了Chrome的恶意软件检查机制,导致用户的系统易受攻击。12月21日,Ormandy在原帖中更新并指出,当时最新版的AVG Web TuneUp(4.2.5.169)虽然修复了之前的问题,但只是强制插件仅在“mysearch.avg.com”和“webtuneup.avg.com”的域名下使用,并非完全修复——风险依然存在,如果上述网站曾受到攻击,那么这些漏仍旧可以被利用。
AVG公司已于12月28日提交了最新的补丁,但目前仍处于审查之中——Google需要审查AVG该款插件是否违反Chrome网上应用店的隐私条款。对于追求最高安全等级的用户而言,只有将该插件从浏览器中删除才能彻底解决该问题。这并非AVG公司第一次引起大众关注,早在今年秋季,PC World的Jared Newman曾指出AVG隐私政策的变化,这意味着AVG将出售用户的非个人(Non-personal)数据。
本文转自d1net(转载)
