Wie erst jetzt bekannt wurde, klaffte in der AVG-Toolbar eine ernste Sicherheitslücke. Präparierte Websites konnten dadurch unter Umständen Code in den Rechner einschleusen.
Das US-Cert hat nach einer angemessenen Wartezeit (Responsible Disclosure) Details über ein vom CERT-Mitarbeiter Will Dormann entdecktes Sicherheitsproblem in der AVG Secure Search Toolbar (auch als Safeguard bekannt) herausgegeben. Die Toolbar bringt ein ActiveX-Control für den Internet Explorer namens ScriptHelperApi mit, dessen Funktionen laut CERT bis vor kurzem unsicher waren, weil sie von beliebigen Websites angesprochen werden konnten.
Das hätte unter Umständen dazu geführt, dass beim Aufruf einer präparierten Site beliebiger Code mit dem Rechten des Nutzers ausgeführt wird. Zu allem Übel sorgte der Toolbar-Installer auch noch dafür, dass die Protected Mode genannte Sandbox-Funktion des IE für das ActiveX-Control abgeschaltet wurde. Das Problem wurde laut CERT bereits Ende Mai mit AVG Secure Search 18.1.7.598 und AVG Safeguard 18.1.7.644 gelöst. Wer noch eine alte Version auf seinem Rechner installiert hat, sollte sie umgehend auf den aktuellen Stand bringen. (rei)
Quelle: heise.de