独立安全研究人员Wladimir Palant本周踢爆一个藏匿在Bitdefender Total Security杀毒软件中的安全漏洞,指出该编号为CVE-2020-8102的漏洞将允许黑客执行任意程序,Bitdefender则在Palant公布漏洞的同一天宣布已发布更新版。
Bitdefender Total Security号称为一可保护所有平台及设备安全性的解决方案,具备反勒索软件、Wi-Fi安全、防火墙及先进威胁防御功能,其中有一个机制名为Bitdefender Safepay,它是个封闭的浏览器环境,主要用于用户执行网络银行、电子商务或其它网络交易时,而CVE-2020-8102漏洞便存在于Bitdefender Safepay中。
Palant指出,Bitdefender软件会检查浏览器的HTTPS连接,万一遇到凭证无效或过期,它不是让一般浏览器处理该错误,而是选择在自己的Safepay浏览器中显示,且网址列上的URL是不变的,这就可能让Safepay加载恶意网页,使得该网页得以与其它位于Safepay内的网站分享同样的安全令牌,造成引狼入室的后果。
Bitdefender则说,这是因为Safepay不当地验证输入所引发的安全漏洞,将允许一个外部且特定的网页在Safepay程序中执行远程命令,而且该漏洞影响Bitdefender Total Security 2020的各种版本,但已发布24.0.20.116来修补该重大漏洞。