趋势杀毒曝远程执行漏洞 可盗取用户所有密码
趋势杀毒曝远程执行漏洞 可盗取用户所有密码
2016-01-15 09:51:12 来源:安全牛
抢沙发
2016-01-15 09:51:12 来源:安全牛
摘要:塔维斯·奥曼迪(Tavis Ormandy),谷歌信息安全工程师,发现趋势科技杀毒产品中存在漏洞,可致任意网站执行远程代码盗取用户的所有密码。趋势科技表示,已修复该漏洞及另一个远程执行漏洞。
关键词:
网络安全
谷歌着名安全研究员提供进一步证据证明杀毒软件有时也是黑客入侵的渠道。
塔维斯·奥曼迪(Tavis Ormandy),谷歌信息安全工程师,发现趋势科技杀毒产品中存在漏洞,可致任意网站执行远程代码盗取用户的所有密码。趋势科技表示,已修复该漏洞及另一个远程执行漏洞。
本周一趋势科技针对此漏洞回应,“根据我们的标准漏洞响应流程,与奥曼迪协作,确认并解决了这个漏洞。客户目前可通过自动更新修复此问题。”
但奥曼迪公开了他与趋势官方的来往邮件,隐晦地表达出他对该公司行动缓慢的不满。
“这意味着网络上的任何人都能完全静默地偷走你的所有密码,还能在无需用户互动的情况下执行任意代码。我真心希望你们能清楚问题的严重性,因为我自己是深深被这个吓到了。”
趋势的杀毒产品有个密码管理器,用户可以选择将密码导出到这里面。该管理器是用JavaScript写的,开启了多个HTTP远程过程调用端口来处理API请求。奥曼迪在其中轻易地找到了一个可以接受远程代码的端口,允许访问存放在该管理器中的密码的API也被他找到一个。
奥曼迪总共找到了70多个暴露在互联网上的API。他还没对所有找到的API进行安全问题调查,但他建议趋势科技聘用外部顾问来审计这些代码。
杀毒软件通常以高权限运行于操作系统之上,意味着其中的漏洞若被利用,黑客将几乎能对计算机为所欲为。卡巴斯基、ESET、Avast、AVG、英特尔安全(前迈克菲)和Malwarebytes,过去7个月里,众多杀毒软件厂商的产品中检出了数十个严重漏洞。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
