Au nom de code Avastium, le navigateur SafeZone est disponible avec une version payante de l'antivirus Avast. Directement accessible depuis l'interface utilisateur de l'antivirus, ce fork de Chromium (le socle open source de Google Chrome) a été conçu avec diverses fonctionnalités de sécurité natives.

avast-logo Ce navigateur permet en outre d'ouvrir des sites suspects dans un environnement virtuel isolé et également d'isoler des sites dans une zone protégée pour le paiement. Chercheur en sécurité au sein de Project Zero de Google, Tavis Ormandy (encore lui) avait découvert une vulnérabilité critique affectant Avastium.

Cette faille permettait à un attaquant de prendre le contrôle de Avastium et accéder en lecture à tous les fichiers du système lors de l'ouverture d'une URL spécialement conçue par n'importe quel autre navigateur installé sur l'ordinateur de l'utilisateur pris pour cible.

Qui plus est, un attaquant expérimenté pouvait prendre le contrôle de sessions authentifiées et " lire les cookies, emails, interagir avec une banque en ligne, etc ". Le hacker de Google a prévenu Avast le 18 décembre. Un correctif temporaire avait été déployé quelques jours après mais le correctif complet est disponible depuis mercredi dernier.

Tavis Ormandy a pointé du doigt le fait que le navigateur de Avast avait supprimé des contrôles de sécurité critiques de Chromium qui auraient aidé à empêcher des attaques… Le hacker a également mis au jour une vulnérabilité critique dans le navigateur Chromodo. Basé sur Chromium, il est distribué par la société de sécurité Comodo dans le cadre de sa suite Internet Security. Chromodo avait eu la mauvaise idée de désactiver la méthode same-origin policy utilisée par les navigateurs Web.