尴尬了卡巴斯基反病毒软件存在漏洞_美国时间8月15日

美国时间 8月15日，据外媒 the Hacker News 报道，研究人员在卡巴斯基反病毒软件中发现了一个漏洞，该漏洞允许访问过的网站和商业第三方服务在线跟踪用户。

这个漏洞为CVE-2019-8286，存在于卡巴斯基反病毒软件的名为“ Kaspersky URL Advisor”的 URL 扫描模块中。该漏洞暴露了过去 4 年用户访问过的每个网站的关联唯一标识符，该标识符的暴露允许访问过的网站和商业第三方服务在线跟踪用户。

在默认情况下，卡巴斯基互联网安全解决方案将远程托管的 JavaScript 文件直接注入用户访问的每个网页的HTML代码中，且适用于所有浏览器，即使是在隐身模式下，因为它试图检查该网页是否属于可疑列表和网络钓鱼网址。但是，安全人员发现，这个 JavaScript 文件的 URL 包含一个字符串，该字符串对于每个卡巴斯基用户都是唯一的，可以其他第三方广告和分析服务轻松捕获的UUID（通用唯一标识符），造成隐私泄漏。

“这样有点蠢，因为运行的其他脚本可以随时访问HTML代码，这意味着任何网站都可以简单地读取用卡巴斯基的用户ID并且跟踪。这些 ID 在几天之后没有变化，说明这个 ID 可以永久分配给特定的计算机。”研究人员说。