尴尬了卡巴斯基反病毒软件存在漏洞( 二 )_美国时间8月15日

雷锋网注意到，研究人员向卡巴斯基报告了他发现的漏洞，卡巴斯基也坦诚承认了这个问题并在上个月通过为所有用户分配一个恒定值（FD126C42-EBFA-4E12-B309-BB3FDD723AC1）而不是在 JavaScript URL 中使用 UUID。

“卡巴斯基已在其产品中修复了这个安全问题（CVE-2019-8286），该问题可能通过使用第三方可访问的唯一产品 ID 来潜在地损害用户隐私。”卡巴斯基在其公告中承认。

但是，卡巴斯基 URL Advisor 功能仍然允许网站和第三方服务能够查明访问者是否在其系统上安装了卡巴斯基软件，研究人员认为该软件可能间接被诈骗和网络犯罪分子滥用。

研究人员提醒：“攻击者可以使用此信息将其重定向到合适的诈骗页面，比如谎称‘您的卡巴斯基许可证已过期，请输入您的信用卡号码以续订订阅’。”

目前，卡巴斯基已经向受影响的用户提供了 Kaspersky Antivirus、Internet Security、Total Security、Free Antivirus 和 Small Office Security 产品的更新版本。

雷锋网提醒，如果用花想要完全禁用此跟踪功能，可以自己手动设置：附加→网络→取消检查流量处理框手动禁用 URL Advisor 功能。

尴尬了卡巴斯基反病毒软件存在漏洞( 二 )