Hvor sikre er sikkerhedsprodukter? Første AVG, nu TrendMicro med store mangler

• Kategori: Sikkerhed

Prøv Vores Instrument Til At Fjerne Problemer

Vælg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vælg Et Projektionsprojekt (Valgfrit) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Dit Problem

Få Et Svar

Send Mig Via E -Mail Vis På Webstedet

Google-forsker Tavis Ormandy opdagede en stor fejl i adgangskodebehandlerkomponenten i TrendMicro Antivirus for Windows for nylig, der havde adskillige større sikkerhedsproblemer, der blandt andet ville give websteder mulighed for at køre vilkårlige kommandoer, eksponere alle gemte adgangskoder eller køre en 'sikker browser 'det er slet ikke sikkert.

Det ser ud til, at Google i øjeblikket undersøger sikkerhedsprodukter på Windows, og der især dem, der interagerer med Chrome-webbrowser eller Chromium på den ene eller den anden måde.

Virksomheden skammede AVG åbent i begyndelsen af ​​januar for sin Web TuneUp-udvidelse til Chrome, da sikkerhedsfejl bringer de 9 millioner Chrome-brugere, der bruger den i fare.

TuneUp, installeret med AVG-sikkerhedssoftware eller separat, sætter Chrome-brugere i fare ved at deaktivere 'websikkerhed' for Chrome-brugere, der havde installeret udvidelsen.

AVG producerede en løsning til sidst (havde brug for to forsøg på det, den første blev afvist, da den ikke var tilstrækkelig).

Problem med TrendMicro Password Manager

Og nu det er Trend Micro, der bliver beskadiget åbent af Google. Ifølge Ormandy er Password Manager-komponenten den skyldige denne gang, der installeres automatisk med TrendMicro Antivirus til Windows og kører ved start ( og også tilgængelig som et selvstændigt program og app).

Dette produkt er primært skrevet i JavaScript med node.js og åbner flere HTTP RPC-porte til håndtering af API-anmodninger.

Det tog cirka 30 sekunder at få vist en, der tillader udførelse af vilkårlig kommando, openUrlInDefaultBrowser, som til sidst kortlægger til ShellExecute ().

Dette betyder, at ethvert websted kan starte vilkårlige kommandoer [..]

I et svar til en medarbejder hos TrendMicro tilføjede Ormandy følgende oplysninger:

Hej, ville bare tjekke, om der er nogen opdatering her? Dette er trivielt udnytteligt og kan opdages i standardinstallationen og åbenbart til at være wormable - efter min mening bør du bede folk om at få løst dette.

FWIW, det er endda muligt at omgå MOTW og spawn-kommandoer uden nogen som helst anmodning. En nem måde at gøre det (testet på Windows 7) ville være at downloade en zip-fil, der indeholder en HTA-fil, automatisk og derefter påberope den [..]

Den første bygning, som TrendMicro sendte til Travis Ormandy til verifikation, fik et af programmets store problemer (brugen af ​​ShellExecute), men det tog ikke sig af andre problemer, der blev fundet under den grove undersøgelse af koden.

Ormandy bemærkede for eksempel, at en af ​​de API'er, der blev brugt af TrendMicro, skabte en 'gammel' bygning af Chromium (version 41 af browseren, som nu er tilgængelig som version 49), og at den ville deaktivere browserens sandkasse ovenpå for at tilbyde en ' sikker browser 'til sine brugere.

Hans svar til TrendMicro var sløvt:

Du skjulte bare de globale objekter og påkaldte et browserskal ...? ... og derefter kalde det 'Secure Browser'?!? Det faktum, at du også kører en gammel version med --disibel-sandkasse, giver bare fornærmelse mod kvæstelser.

Jeg ved ikke engang, hvad jeg skal sige - hvordan kunne du aktivere denne ting * som standard * på alle dine kundemaskiner uden at få en revision fra en kompetent sikkerhedskonsulent?

Sidst, men ikke mindst, opdagede Ormandy, at programmet tilbød et 'pænt rent API til adgang til adgangskoder, der er gemt i adgangskodemanageren', og at nogen bare kunne læse alle de gemte adgangskoder '.

Brugere bliver bedt om ved installationen at eksportere deres browser-adgangskoder, men det er valgfrit. Jeg tror, ​​at en angriber kan tvinge den med / eksportBrowserPasswords API, så selv det hjælper ikke. Jeg sendte en e-mail, der påpegede dette:

Efter min mening bør du midlertidigt deaktivere denne funktion for brugere og undskylde for den midlertidige afbrydelse og derefter ansætte et eksternt konsulentfirma for at revidere koden. I min erfaring med at beskæftige sig med sikkerhedsleverandører, tilgiver brugere ret for fejl, hvis leverandører hurtigt handler for at beskytte dem, når de først er blevet informeret om et problem, jeg tror, ​​at det værste, du kan gøre, er at lade brugerne udsættes, mens du rydder op for denne ting. Valget er selvfølgelig dit.

Problemet ser ud til ikke at være løst fuldstændigt på dette tidspunkt på trods af TrendMicros indsats og adskillige programrettelser, som virksomheden producerede i de sidste par dage.

Sikkerhedssoftware iboende usikker?

Det vigtigste spørgsmål, der skulle komme ud af dette, er 'hvor sikre er sikkerhedsprodukter'? To hovedspørgsmål i to produkter fra store spillere på antivirusområdet er bekymringsfulde, især da der er en chance for, at de ikke er de eneste, der ikke ser ud til at have sikret sig deres egne produkter ordentligt.

For slutbrugere er det næsten umuligt at fortælle, at der er noget galt, der efterlader dem i en usikker situation. Kan de stole på deres sikkerhedsløsning for at holde deres data sikre, eller er det netop den software, der skal sikre deres computere, der bringer dem i fare?