Antivirusprogramvarupaket innehåller ofta specialbyggda "säkra" webbläsare som ska användas när du navigerar på bank- och shoppingwebbplatser. Men säkra webbläsare kan vara mer besvärliga än de är värda, vilket bevisades av Avasts egen Avastium-webbläsare, som utsatte användarnas datorer för datastöld.

Bild: Volt Collection / Shutterstock
Bild: Volt Collection / Shutterstock

När du ändrade Googles Chromium-webbläsare med öppen källkod till Avastium tog Avast bort en skyddsåtgärd som stoppade ett webb server från fjärråtkomst till lokala (dvs. icke-Internet) filer eller att köra lokala kommandon på en klients (dvs. din) webbläsare. Utan detta skydd gjorde Chromiums utvecklarverktyg det möjligt för webbservern att fjärrköra skadlig JavaScript-kod i en klients webbläsare.

När en webbplats som innehåller skadlig kod - som kan inbäddas i en annons, iFrame eller ett antal andra sätt - öppnades på en dator som Avast råkar ha installerat, en angripare som kontrollerar den skadliga koden kan starta webbläsaren Avastium på klientmaskinen och använda den för att bläddra bland datorns filer - inklusive lösenord, kontoutdrag, kärleksbrev, stygga bilder och så på.

MER: Bästa antivirusskydd för PC, Mac och Android

De flesta webbläsare kan bläddra och visa filer (skriv "fil: /// C: /" i ett adressfält för att se själv), men är endast avsedda att göra det lokalt, dvs. på samma dator eller lokalt nätverk. Avasts misstag var att det tillät Avastium att göra det över Internet.

Eftersom Avastium importerar användarprofiler från Chrome när Avasts programvara installeras är alla Chrome-användare utsatta för attacken, inte bara de som aktivt använder Avastium. Denna brist upptäcktes av Travis Ormandy, en säkerhetsforskare från Google som nyligen hittade brister i andra märken av antivirusprogram, inklusive AVG, Comodo, Malwarebytes och Trend Micro.

Ormandy postade en proof-of-concept-demonstration för utnyttjandet online, som, om du har Avast-programvara installerad, kommer att skriva ut innehållet på din C: -enhet för att visa hur lätt åtkomst kan uppnås. Han rapporterade felet till Avast när han upptäckte det i December 2015och släppte bara nyheter om bristen till allmänheten efter det lappat på onsdag (feb. 3). Avast-antivirusanvändare bör se till att deras installationer av programvaran är uppdaterade med version 2016.11.1.2253.

  • 7 enkla sätt att få din identitet stulen
  • 10 sämsta dataintrång genom tiderna
  • Din routers säkerhet stinker: Så här åtgärdar du det

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.