Een issue met de beveiligingstoolbar van AVG, die met diverse softwarepaketten wordt gebundeld, heeft juist een beveiligingsprobleem veroorzaakt, zo waarschuwt het CERT/CC, het befaamde originele CERT van de Carnegie Mellon University. Aanvaller konden code uitvoeren via een functie die de AVG Secure Search toolbar in de browser openzette.

Bloatware weren

Het probleem was dat ActiveX-element ScriptHelper niet in de sandbox van Internet Explorer werd gedraaid. ScriptHelper heeft verder geen beperkingen op welke sites er gebruik van kunnen maken, waardoor ook malafide sites hem kunnen aanspreken wanneer browsers de AVG-toolbar gebruikten.

AVG heeft het probleem opgelost in de versies van mei; Secure Search 18.1.7.598 en AVG Safeguard 18.1.7.644. Volgens CERT/CC is dit incident een goed voorbeeld van waarom gebruikers bloatware moeten weren. CERT/CC adviseert gebruikers om bij gebrek aan update het ActiveX-element ScriptHelper uit te schakelen in IE.