Vulnérabilité dans Avast AntiTrack et AVG Antitrack
Date de publication :
Une vulnérabilité a été découverte dans Avast AntiTrack et AVG Antitrack, deux outils anti traqueurs édités par Avast partageant le même code source. Cette vulnérabilité peut permettre à un attaquant distant et non authentifié d’effectuer une attaque dite « homme du milieu » et ainsi récupérer des informations et données potentiellement confidentielles.
CVE-2020-8987 [Score CVSS v3 : 7.4] : Avast AntiTrack redirige par défaut le trafic web vers des sites HTTPS, cependant il ne vérifie pas la validité des certificats fournis par les sites. Un attaquant pourrait utiliser cette vulnérabilité en utilisant un site malveillant configuré avec un certificat auto-signé afin de réaliser des attaques d’homme du milieu (man in the middle).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Divulgation d’informations confidentielles
- Usurpation d’identité numérique
Criticité
- Score CVSS v3 : 7.4
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible, cependant l’exploitation de cette vulnérabilité est triviale
Composants vulnérables
- Avast AntiTrack versions antérieures à la 1.5.1.172
- AVG Antitrack versions antérieures à la 2.0.0.178
CVE
- CVE-2020-8987
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Avast AntiTrack vers la version 1.5.1.172 ou supérieure
- Mettre à jour AVG Antitrack vers la version 2.0.0.178 ou supérieure
Solution de contournement
- Aucune solution de contournement n’est disponible