卡巴斯基产品有漏洞，恐遭其他网站关闭防护功能，官方连修三次

研究人员发现知名杀毒软件卡巴斯基（Kaspersky）产品，像是Kaspersky Internet Security中的网页防护（Web Protection）功能出现漏洞，可导致外部网站访问其内部API，进而关闭对广告及恶意程序的防护。而这个漏洞让卡巴斯基补了好几次，而且似乎还没完全补好。

Kaspersky Web Protection主要是用于过滤网站搜索结果，可以封锁广告及线上关注程序，还提供虚拟键盘以防止键盘侧录程序。研究人员Wladimir Palant说，Web Protection以浏览器插件运行，需要和卡巴斯基主程序通信。理论上，Web Protection的浏览器script和主程序间的通信消息，是采用外部网站无法看到的签章值保护。但实际上，外部网站却可以轻易拦截到这个签章值，能让网站直接连接卡巴斯基主程序，假扮Web Protection发送指令。研究人员去年发现存在于浏览器插件、编号为CVE-2019-15685的漏洞，攻击者可以用这个漏洞悄悄动手脚，像是关闭广告封锁或线上关注防护功能等等。

研究人员证实，Chrome和Firefox的插件会泄露API，即使IE，也能通过发送恶意调用来暴露API。不论用户用哪个浏览器、是否安装卡巴斯基的浏览器插件，所有网站都能调用卡巴斯基主程序。

原本这只是一个“发现漏洞->厂商修补漏洞”的平常过程，但此次卡巴斯基的修补似乎一波三折。卡巴斯基今年7月发布2020版卡巴斯基家族产品时，宣称已经修补该漏洞。但研究人员随即发现愈补愈大洞。首先，研究人员说卡巴斯基只是限制了较强大的API call，但是网站仍能用其他指令来控制主程序，而且还暴露了系统上卡巴斯基安装的unique ID，进而提供了用户浏览器信息，还能让网站直接触发卡巴斯基杀毒行程宕掉，使PC完全不设防。

随后卡巴斯基又修补了两次。第一次仍留下少数导致杀毒软件行程宕掉的问题，直到本周最新一次修补，才把泄露用户信息，以及关闭广告、关注程序及杀毒软件的问题修补掉。但研究人员指出，外部网站对卡巴斯基杀毒主程序发送指令依然存在，难保不会触发有害行程。

不过卡巴斯基回复ZDNET指出，目前已经修好卡巴斯基网页防护组件及Google Chrome插件的安全问题，将通过自动更新程序发送到用户端，只要重开机即可提供防护。