As três versões executavam instruções que fossem embutidas nos nomes de redes sem fio. Inserir um endereço da web fazia o antivírus abrir um browser e navegar até lá
Um pesquisador de cibersegurança descobriu uma vulnerabilidade em três versões recentes do antivírus Avast para desktop: a falha permitia que um invasor inserisse código em um nome SSID – o nome utilizado pelas redes sem fio, que tem espaço para expressões com até 32 caracteres. Assim, se um dispositivo Windows executando o antivírus Avast se conectasse a uma rede com o código embutido no SSID, o próprio antivírus executaria o código. A empresa já corrigiu o problema e distribuiu as versões atualizadas do produto, além de ter recompensado o pesquisador com US$ 5 mil.
A exploração da vulnerabilidade ocorre numa notificação pop-up, quando o dispositivo acaba de se conectar a uma rede WiFi. Ao exibir essa notificação, o pop up na verdade executava o que estava escrito no nome da rede (o identificador SSID). Se por exemplo estivesse escrito o endereço de um site, a notificação abria um browser para navegar até o site. Esse exemplo foi utilizado pelo pesquisador para gravar um vídeo como prova-de-conceito (ao lado).
As vulnerabilidades, que afetavam também os antivírus da marca AVG, de propriedade da Avast, foram registradas como CVE-2019–18653 e CVE-2019–18654 e atingem as versões 19.3.2369 e 19.3.3084 do antivírus. Nenhuma das duas é de alta gravidade, tendo recebido grau 6.1 na tabela NIST. Recentemente foram registradas vulnerabilidades (com escalada de privilégios) nos antivírus da Bitdefender Antivirus Free 2020 e no Comodo Antivirus.
