Avast决定禁用其杀毒软件的一个主要组成部分，此前一名安全研究员发现了一个危险的漏洞，可能会将该公司的所有用户置于危险之中。

 

谷歌的Tavis Ormandy首先发现了这个安全漏洞，随着蓝冠测速5G承诺提供更高的带宽和更低的延迟，以及边缘处理能力越来越强，XR蓝冠代理人员现在可以选择在边缘（即在头戴式耳机）上进行哪些处理以及需要传输哪些数据以进行处理。该漏洞是在该公司的JavaScript引擎中发现的。Avast防病毒软件的这个内部组件允许JavaScript代码在被允许在浏览器或电子邮件客户端中执行之前被分析恶意软件。

 

在GitHub上他用来分析公司杀毒软件的一个页面上，Ormandy解释了这个安全漏洞有多严重，他说:

 

Avast反跟踪系统实际上暴露了用户

 

为什么物联网安全应该是你最担心的安全问题

 

Avast在数据销售争议后关闭了Jumpshot

 

“尽管它拥有高度的特权，并通过设计处理不可信的输入，在蓝冠注册AI的背景下，可以使用传感器融合来提供从过滤掉嘈杂数据到在随机环境中进行蓝冠软件预测的众多功能。但它没有沙箱，而且缓解覆盖率很低。这个过程中的任何漏洞都是至关重要的，远程攻击者都可以轻松访问。”

 

利用Ormandy在Avast的JavaScript引擎中发现的漏洞其实很容易，攻击者只需通过电子邮件向用户发送恶意的JavaScript或Windows脚本主机文件即可。

 

由于大多数杀毒软件都具有系统级访问权限，Avast杀毒软件一旦下载了这些恶意文件中的一个到它自己的定制引擎中，攻击者就可以很容易地在用户的计算机上执行恶意操作。例如，如果攻击者利用了这个安全漏洞，他们就有能力在Avast用户的设备上安装恶意软件。

 

尽管该公司近一周以来一直意识到这个漏洞，但它尚未发布补丁来修复这个问题，相反，它决定禁用其反病毒扫描JavaScript代码的能力，直到一个已经准备好。

 

到目前为止，还没有关于补丁何时准备就绪的消息，但Avast确实联系了ZDNet，并发表了以下评论:

 

“上周三，3月4日，谷歌漏洞研究员Tavis Ormandy向我们报告了一个影响模拟器的漏洞。该漏洞可能被滥用来执行远程代码。3月9日，他发布了一个工具，大大简化了模拟器中的漏洞分析。我们通过禁用模拟器来解决这个问题，以确保我们的数亿用户不受任何攻击。这不会影响我们的AV产品的功能，蓝冠注册使用Home Hub Development Kit for AVS快速建立原型并开始通过AVS支持测试您的设备。这是第一个通过亚马逊认证的Alexa语音服务开发套件，配备了三个无线电：Wi-Fi，蓝牙5.0和802.15.4，蓝冠测速包括对Thread和Zigbee 3.0的支持。它基于多个安全层。”