Avast a désactivé en urgence le moteur JavaScript de son célèbre antivirus après qu'une faille a été repérée dans le cadre du ProjectZero de Google.

Chercheur en sécurité du ProjectZero de Google, Tavis Ormandy a mis à jour une faille présente dans l'interpréteur JavaScript de l'antivirus Avast et en a prévenu la firme le 4 mars.

Cet émulateur est utilisé par Avast pour analyser le code JavaScript avant qu'il s'exécute dans le navigateur ou un logiciel de messagerie afin de bloquer un éventuel code malicieux.

Mais ce module n'est pas isolé dans une sandbox et permet d'accéder à l'ensemble du système. Ce qui constitue une vulnérabilité sévère, comme Tavis Ormandy (qui a attendu le 9 mars pour communiquer publiquement sur le sujet) l'explique :

Toutes les vulnérabilités de ce processus sont critiques et facilement accessibles à des attaquants à distance.
Alors n'est peut-être pas génial qu'il intègre un interpréteur JavaScript personnalisé… ???

Il suffirait alors d'une page web avec code JavaScript malveillant ou fichier JS ou WSH malicieux envoyé par mail pour prendre le contrôle d'un ordinateur.

Suite à la désactivation de ce module JavaScript le 11 mars, Avast tient à rassurer :

Cela n'affectera pas la fonctionnalité de notre produit AV, qui est basé sur plusieurs couches de sécurité

Toujours est-il que si vous utilisez Avast, vérifiez qu'il est bien à jour.

[Source : GitHub]