Avira: Deserialização, Exclusão e Elevação de Privilégios – A Maneira Correta de Usar um AV

A Quarkslab revelou três vulnerabilidades no Avira Internet Security (versões 1.1.109.1990 e anteriores, corrigidas na 1.1.114.3113). As falhas incluem a CVE-2026-27748, uma exclusão arbitrária de arquivos via symlink-following no Software Updater, que opera como SYSTEM; a CVE-2026-27749, uma desserialização não filtrada de .NET BinaryFormatter no RealTimeOptimizer do System Speedup, que lê um arquivo controlado pelo invasor do diretório ProgramData (gravável pelo usuário); e a CVE-2026-27750, uma exclusão de pasta TOCTOU no Optimizer que permite o truque de Config.msi junction para obter um shell SYSTEM. A primitiva de exclusão de arquivo encadeia-se na falha de desserialização quando o arquivo temp_rto.dat já existe e não pode ser sobrescrito, enquanto o caminho TOCTOU injeta a HID.DLL via rollback de MSI. O artigo técnico também detalha um processo de divulgação controverso, no qual a Gen Digital se recusou a aceitar relatórios de vulnerabilidades fora de sua plataforma de bug bounty vinculada a acordos de não-divulgação (NDA).