SentinelLabs, l’équipe ‘threat research’ de SentinelOne, a, à l’entendre, découvert deux sérieuses failles dans Avast et AVG. Ces bugs dans les programmes antivirus n’avaient pas été dépistés depuis dix ans et sont capables de toucher potentiellement des dizaines de millions d’utilisateurs. Jusqu’à présent, SentinelLabs n’a cependant trouvé aucune preuve d’abus.
Les brèches dans Avast et AVG (la seconde avait été rachetée par la première citée en 2016) permettent à des agresseurs d’adapter des compétences, afin de pouvoir désactiver des produits de sécurité, porter atteinte au système d’exploitation ou exécuter sans problème des actions malfaisantes.
Des millions d’utilisateurs touchés
Selon Avast, le bug s’est introduit dans Avast 12.1, la version du logiciel sortie en janvier 2012. Etant donné la durée de vie de cette faille, à savoir plus de dix ans, SentinelOne estime que des dizaines de millions d’utilisateurs pourraient être concernés.
Les résultats découverts par SentinelLabs avaient été rapportés proactivement en décembre 2021 déjà à Avast, après quoi les bugs s’étaient vu attribuer les codes CVE-2022-26522 et CVE-2022-26523 (score CVSS: high severity). Entre-temps, Avast a sorti en toute discrétion des mises à jour sécuritaires en vue de colmater les brèches. La plupart des utilisateurs d’Avast et d’AVG reçoivent le correctif (version 22.1) automatiquement. Il est recommandé à tout utilisateur d’une installation ‘air gapped’ ou sur site (‘on-premise’) d’appliquer manuellement le patch dans les plus brefs délais.
En collaboration avec Dutch IT-channel.
