Vulnérabilité dans Avast AntiTrack et AVG Antitrack

Une vulnérabilité a été découverte dans Avast AntiTrack et AVG Antitrack, deux outils anti traqueurs édités par Avast partageant le même code source. Cette vulnérabilité peut permettre à un attaquant distant et non authentifié d’effectuer une attaque dite « homme du milieu » et ainsi récupérer des informations et données potentiellement confidentielles.

CVE-2020-8987 [Score CVSS v3 : 7.4] : Avast AntiTrack redirige par défaut le trafic web vers des sites HTTPS, cependant il ne vérifie pas la validité des certificats fournis par les sites. Un attaquant pourrait utiliser cette vulnérabilité en utilisant un site malveillant configuré avec un certificat  auto-signé afin de réaliser des attaques d’homme du milieu (man in the middle).

Informations
+

Risques

  • Divulgation d’informations confidentielles
  • Usurpation d’identité numérique

Criticité

  • Score CVSS v3 : 7.4

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible, cependant l’exploitation de cette vulnérabilité est triviale

Composants vulnérables

  • Avast AntiTrack versions antérieures à la 1.5.1.172
  • AVG Antitrack versions antérieures à la 2.0.0.178

CVE

  • CVE-2020-8987

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Avast AntiTrack vers la version 1.5.1.172 ou supérieure
  • Mettre à jour AVG Antitrack vers la version 2.0.0.178 ou supérieure

Solution de contournement

  • Aucune solution de contournement n’est disponible