趨勢科技殺軟曝密碼漏洞：允許遠程代碼執(zhí)行

IT之家訊 來自谷歌的安全研究員Tavis Ormandy最近很忙。幾周之前，他發(fā)現(xiàn)了AVG殺軟擴展程序可以繞過Chrome商店中的審查機制，自動安裝到用戶的Chrome瀏覽器中，而且這個擴展還會泄露用戶隱私。現(xiàn)在這位研究員又發(fā)現(xiàn)了趨勢科技殺軟密碼管理器會泄露密碼，并且為潛在的惡意代碼攻擊提供方便。

存在問題的“密碼管理器”工具被綁定在了Trend Micro Security 10殺軟中，相關(guān)用戶很容易受影響。另外這一工具也提供單獨下載。這位谷歌研究員認為，這款工具在安全設(shè)計上存在缺失，攻擊者可利用如下方式進行遠程代碼執(zhí)行攻擊：

• 該產(chǎn)品采用JavaScript結(jié)合node.js編寫，打開多個HTTP RPC端口來掌控API請求。它將需要大約30秒的時間來允許任意一個命令執(zhí)行，openUrlInDefaultBrowser，最終映射到ShellExecute()。

• 以下為示例：

x = new XMLHttpRequest()

x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true); try { x.send(); } catch (e) {};

在Ormandy向趨勢科技通報這個問題兩天后，他再次與該公司聯(lián)系，稱其中存儲的所有密碼都已經(jīng)泄露，并且批評該公司缺乏必要的安全管理措施，這種“低級錯誤”不該犯。這種問題意味著網(wǎng)上的任何人都可以利用這種方式“靜、凈”地盜取用戶的所有密碼，用戶必須提起注意。

現(xiàn)在趨勢科技已經(jīng)對該問題進行了修復(fù)，相關(guān)用戶應(yīng)該及時安排軟件升級，消滅該漏洞。（Source：Google）

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。