AVG杀毒软件在用户安装时会强制将AVG Web TuenUp Chrome扩展添加到Chrome浏览器中。而这个扩展中存在一个严重漏洞允许攻击者获取用户的浏览历史、cookies等。
这个漏洞是谷歌Project Zero项目研究人员Tavis Ormandy发现的,他发现这个扩展在Chrome Web Store页面列出了超过900万名用户清单,易于受到跨站点脚本XSS的攻击。攻击者意识到这个问题将会访问用户cookie、浏览历史、以及其他通过Chrome暴露的其它详情。经过研究后Ormandy发现许多通过这个扩展添加的定制JavaScript API是这个安全问题产生的原因,这些API要么崩溃要么写的很差,这就允许攻击者访问个人信息。AVG开发人员忽视了或者说没有成功保护用户免受简单的跨域名请求攻击,这就允许托管在一个域名中的代码在另外一个URL情境下执行。从理论上来讲,这会让攻击者访问存在其他站点中的数据,如Gmail、Yahoo、银行网站等。而攻击者需要做的不过是说服用户访问恶意URL。
托管在HTTPS上的网站也很可疑,Ormandy表示扩展的用户“禁用了SSL”。扩展4.2.5.169版本修复了这个问题。同时,谷歌封锁了AVG执行在线安装该扩展的功能,也就是说想要安装这个扩展的用户都必须去Chrome Web Store进行下载安装。此外,Chrome Web Store团队也正在调查AVG是否违反了某些Web Store策略规定。