L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de AVG AntiVirus

alerte de vulnérabilité CVE-2017-5565 CVE-2017-5566 CVE-2017-5567

Antivirus : élévation de privilèges via Microsoft Application Verifier

Synthèse de la vulnérabilité

Produits concernés : Avast AV, NOD32 Antivirus, F-Secure AV, AVG AntiVirus, McAfee MOVE AntiVirus, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, TrendMicro Internet Security, OfficeScan.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/03/2017.
Références : 1116957, CVE-2017-5565, CVE-2017-5566, CVE-2017-5567, CVE-2017-6186, CVE-2017-6417, VIGILANCE-VUL-22211.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 18606

AVG AntiVirus : obtention d'information via Chrome Extension

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité dans l'extension Chrome de AVG AntiVirus, afin d'obtenir des informations sensibles.
Produits concernés : AVG AntiVirus.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/12/2015.
Références : VIGILANCE-VUL-18606.

Description de la vulnérabilité

Le produit AVG AntiVirus installe l'extension "AVG Web TuneUp" dans Chrome, afin de surveiller l'activité web.

Cependant, un attaquant peut envoyer des messages JavaScript vers cette extension, pour contourner les restrictions d'accès aux données.

Un attaquant peut donc utiliser une vulnérabilité dans l'extension Chrome de AVG AntiVirus, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2012-1443 CVE-2012-1456 CVE-2012-1457

Grisoft AVG Anti-Virus : contournement via RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive, contenant un virus qui n'est pas détecté par Grisoft AVG Anti-Virus.
Produits concernés : AVG AntiVirus.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 21/03/2012.
Références : BID-52608, BID-52610, BID-52612, BID-52613, BID-52623, BID-52626, CVE-2012-1443, CVE-2012-1456, CVE-2012-1457, CVE-2012-1459, CVE-2012-1461, CVE-2012-1462, VIGILANCE-VUL-11480.

Description de la vulnérabilité

Les outils d'extraction d'archives acceptent d'extraire des archives légèrement malformées. Cependant, Grisoft AVG Anti-Virus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec une taille trop grande contourne la détection. [grav:1/4; BID-52610, CVE-2012-1457]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Une archive ZIP commençant par 1024 octets aléatoires contourne la détection. [grav:1/4; BID-52613, CVE-2012-1462]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits concernés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, transit de données.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2009-1784

AVG Anti-Virus : contournement via ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ZIP contenant un virus qui n'est pas détecté par les produits AVG.
Produits concernés : AVG AntiVirus.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/05/2009.
Références : BID-34895, CVE-2009-1784, TZO-20-2009, VIGILANCE-VUL-8704.

Description de la vulnérabilité

Les produits AVG détectent les virus contenus dans les archives ZIP.

Cependant, un attaquant peut créer une archive légèrement malformée (en modifiant "Filelength"), qui peut toujours être ouverte par les outils Unzip, mais que l'antivirus ne peut pas ouvrir.

Un attaquant peut donc créer une archive ZIP contenant un virus qui n'est pas détecté par les produits AVG.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2008-6662

AVG AV : déni de service via UPX

Synthèse de la vulnérabilité

Un attaquant peut créer un binaire UPX illicite afin de mener un déni de service et éventuellement de faire exécuter du code dans AVG AV.
Produits concernés : AVG AntiVirus.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 10/12/2008.
Références : BID-32749, CVE-2008-6662, IVIZ-08-014, VIGILANCE-VUL-8320.

Description de la vulnérabilité

Un attaquant peut créer un binaire UPX illicite afin de mener un déni de service et éventuellement de faire exécuter du code dans AVG AV.



Cette vulnérabilité pourrait n'impacter que les versions Linux de l'antivirus.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2008-3373

AVG Anti-virus : déni de service via UPX

Synthèse de la vulnérabilité

Un attaquant distant peut générer un fichier illicite UPX afin de créer un déni de service lors de son analyse.
Produits concernés : AVG AntiVirus.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/07/2008.
Références : BID-30417, CVE-2008-3373, n.runs-SA-2008.004, VIGILANCE-VUL-7979.

Description de la vulnérabilité

Les programmes peuvent être compactés afin de diminuer leur taille et de rendre leur analyse plus difficile. L'Anti-virus AVG supporte notamment le compacteur UPX (Ultimate Packer for eXecutables).

Un programme compacté avec UPX peut provoquer une division par zéro dans AVG.

Un attaquant distant peut donc envoyer un programme compacté afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2007-3777

AVG : corruption de mémoire via avg7core.sys

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un débordement dans avg7core.sys afin de corrompre la mémoire.
Produits concernés : AVG AntiVirus.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/07/2007.
Références : BID-24870, CVE-2007-3777, NGS00500, VIGILANCE-VUL-6988.

Description de la vulnérabilité

L'antivirus AVG installe le driver avg7core.sys.

L'une des fonctions proposées par l'ioctl 0x5348E004 ne vérifie pas les données de l'utilisateur avant de les copier en mémoire. Un attaquant peut donc l'employer pour écrire des données dans la mémoire du système.

Un attaquant local peut ainsi mener un déni de service ou faire exécuter du code avec les droits du système.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2006-5937 CVE-2006-5938 CVE-2006-5939

AVG : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de l'antivirus AVG permettent à un attaquant distant de mener un déni de service ou de faire exécuter du code.
Produits concernés : AVG AntiVirus.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/11/2006.
Références : BID-21029, CVE-2006-5937, CVE-2006-5938, CVE-2006-5939, CVE-2006-5940, n.runs-SA-2006.002, VIGILANCE-VUL-6313.

Description de la vulnérabilité

L'antivirus AVG comporte plusieurs vulnérabilités :
 - Un attaquant peut provoquer un débordement d'entier via un fichier .CAB. [grav:3/4; CVE-2006-5937]
 - Un attaquant peut provoquer un déni de service via un fichier .CAB (variable non initialisée). [grav:3/4; CVE-2006-5938]
 - Un attaquant peut provoquer un déni de service via un fichier .DOC (division par zéro). [grav:3/4; CVE-2006-5939]
 - Un attaquant peut provoquer un débordement d'entier via un fichier .RAR. [grav:3/4; CVE-2006-5937]
 - Un attaquant peut provoquer plusieurs débordements d'entiers via un fichier .EXE. [grav:3/4; CVE-2006-5940]

Ces vulnérabilités permettent donc à un attaquant distant de mener un déni de service ou de faire exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 5835

Windows : création de fichiers inaccessibles

Synthèse de la vulnérabilité

Un attaquant local peut créer un fichier sur le système qui ne soit pas détecté ou désinfecté par certains outils de vérification, comme les antivirus.
Produits concernés : Avast AV, F-PROT AV, AVG AntiVirus, Kaspersky AV, Windows 2000, Windows NT, Windows XP, Norman Virus Control.
Gravité : 1/4.
Conséquences : camouflage.
Provenance : shell utilisateur.
Confiance : source unique (2/5).
Date création : 11/05/2006.
Références : BID-17934, VIGILANCE-VUL-5835.

Description de la vulnérabilité

La fonction RtlDosPathNameToNtPathName_U() convertit un nom de fichier MS-DOS Unicode en nom NT. Elle fait appel à :
 - RtlGetFullPathName_Ustr(), si le nom doit être converti
 - RtlpWin32NTNameToNtPathName_U(), si le nom est déjà au format NT

Cependant, ces deux fonctions gèrent différemment les espaces en fin de chemin d'accès :
 - la première les supprime
 - la deuxième les garde
Ainsi, le fichier "\\?\C:\test " (notation NT) n'est pas accessible à l'aide de "C:\test " (notation MS-DOS).

Par exemple, les antivirus qui utilisent la notation MS-DOS ne peuvent pas détecter ou désinfecter les virus situés dans ces fichiers.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur AVG AntiVirus :