趋势科技杀软曝密码漏洞:允许远程代码执行

IT之家 2016/1/14 11:51:23 责编:晨风

IT之家讯 来自谷歌的安全研究员Tavis Ormandy最近很忙。几周之前,他发现了AVG杀软扩展程序可以绕过Chrome商店中的审查机制,自动安装到用户的Chrome浏览器中,而且这个扩展还会泄露用户隐私。现在这位研究员又发现了趋势科技杀软密码管理器会泄露密码,并且为潜在的恶意代码攻击提供方便。

存在问题的“密码管理器”工具被绑定在了Trend Micro Security 10杀软中,相关用户很容易受影响。另外这一工具也提供单独下载。这位谷歌研究员认为,这款工具在安全设计上存在缺失,攻击者可利用如下方式进行远程代码执行攻击:

• 该产品采用JavaScript结合node.js编写,打开多个HTTP RPC端口来掌控API请求。它将需要大约30秒的时间来允许任意一个命令执行,openUrlInDefaultBrowser,最终映射到ShellExecute()。

• 以下为示例:

x = new XMLHttpRequest()

x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true); try { x.send(); } catch (e) {};

在Ormandy向趋势科技通报这个问题两天后,他再次与该公司联系,称其中存储的所有密码都已经泄露,并且批评该公司缺乏必要的安全管理措施,这种“低级错误”不该犯。这种问题意味着网上的任何人都可以利用这种方式“静、净”地盗取用户的所有密码,用户必须提起注意。

现在趋势科技已经对该问题进行了修复,相关用户应该及时安排软件升级,消灭该漏洞。(Source:Google)

相关文章

关键词:趋势科技密码

软媒旗下网站: IT之家 辣品 - 超值导购,优惠券 IT圈(Win10/WP8.1/Win7论坛) 最会买 - 返利返现优惠券 6655网址之家 Win10之家 Win8之家 Win7之家 Vista之家

软媒旗下软件: 魔方 旗鱼浏览器(极速内核) 云日历 酷点桌面 闪游浏览器(IE内核) Win7优化大师 Win8优化大师 Win10优化大师 软媒手机APP应用