ทีม Project Zero ของกูเกิลเข้าตรวจสอบ AVG Web TuneUp ที่เป็นส่วนขยายสำหรับโครมที่ติดตั้งมาพร้อมกับ AVG AntiVirus พบว่ามีช่องโหว่ใน API จำนวนมาก

Tavis Ormandy ส่งอีเมลไป "ด่า" ทีมงาน AVG ว่าแทบทุก API ที่เขาตรวจสอบดูมีปัญหาสามารถแฮกได้โดยง่าย และช่องโหว่เหล่านี้กระทบผู้ใช้กว่า 9 ล้านคน ตัวอย่างย่อหน้าหนึ่งจากอีเมล เช่น

Apologies for my harsh tone, but I'm really not thrilled about this trash being installed for Chrome users. The extension is so badly broken that I'm not sure whether I should be reporting it to you as a vulnerability, or asking the extension abuse team to investigate if it's a PuP.

หลังจากแจ้งปัญหาไปสี่วัน ทีมงาน AVG ส่งแพตช์กลับมา และ Tavis ก็พบว่าแพตช์นั้นไร้ประโยชน์ แฮกเกอร์ยังคงใช้ช่องโหว่ได้โดยง่าย

ช่องโหว่เหล่านี้ถูกปิดบั๊กไปหลังจากทีมงาน AVG แก้ไขกลับมาอีกครั้ง แต่ทางกูเกิลก็ยกเลิกสิทธิ์การติดตั้งอัตโนมัติ (inline installation) ออกไปจนกว่าทีมงานโครมจะตรวจสอบว่ามีการทำผิดนโยบายใดหรือไม่

ที่มา - Google Security Research #675, The Register