Cât de sigure sunt produsele de securitate? Primul AVG, acum TrendMicro cu defecte majore

• Categorie: Securitate

Încercați Instrumentul Nostru Pentru Eliminarea Problemelor

Selectați Sistemul De Operare Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Alegeți Un Program De Proiecție (Opțional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrie -Ți Problema

Obțineți Un Răspuns

Trimite -Mi Prin E -Mail Afișare Pe Site

Cercetătorul Google Tavis Ormandy a descoperit recent un defect în componenta de administrare a parolelor din TrendMicro Antivirus pentru Windows care a avut mai multe probleme majore de securitate care, printre altele, permitea site-urilor să ruleze comenzi arbitrare, să expună toate parolele stocate sau să ruleze un „browser securizat”. „asta nu este deloc sigur.

Se pare că Google cercetează în prezent produsele de securitate pe Windows și, în special, cele care interacționează cu browserul web Chrome sau Chromium într-un fel sau altul.

Compania a rușinat deschis AVG la începutul lunii ianuarie, pentru extensia sa Web TuneUp pentru Chrome, deoarece defectele de securitate pun în pericol cei 9 milioane de utilizatori Chrome care îl folosesc.

TuneUp, instalat cu software de securitate AVG sau separat, a pus utilizatorii Chrome în pericol dezactivând „securitatea web” pentru utilizatorii Chrome care au instalat extensia.

AVG a produs o soluție în cele din urmă (a fost nevoie de două încercări pentru aceasta, prima a fost respinsă deoarece nu a fost suficientă).

Problemă de securitate TrendMicro Password Manager

Si acum este Trend Micro care este rușinat deschis de Google. Conform Ormandy, componenta Password Manager este de data aceasta care este instalată automat cu TrendMicro Antivirus pentru Windows și se execută la pornire ( și de asemenea disponibil ca program și aplicație autonom).

Acest produs este scris în principal în JavaScript cu node.js și deschide mai multe porturi RTP HTTP pentru gestionarea cererilor API.

A fost nevoie de aproximativ 30 de secunde pentru a detecta una care să permită executarea arbitrară a comenzii, openUrlInDefaultBrowser, care în cele din urmă mapează către ShellExecute ().

Aceasta înseamnă că orice site web poate lansa comenzi arbitrare [..]

Pentru a răspunde unui angajat al TrendMicro Ormandy, a adăugat următoarele informații:

Hei, am vrut să verifici dacă există vreo actualizare aici? Acest lucru este banal exploatabil și descoperibil în instalarea implicită și, evident, wormable - în opinia mea, ar trebui să faceți pagină pentru a rezolva această problemă.

FWIW, este chiar posibil să ocoliți MOTW și să generați comenzi fără a primi nicio solicitare. O modalitate ușoară de a face asta (testat pe Windows 7), ar fi descărcarea automată a unui fișier zip care conține un fișier HTA, și apoi să îl invocați [..]

Prima versiune pe care TrendMicro a trimis-o lui Travis Ormandy pentru verificare a rezolvat una dintre problemele majore ale programului (utilizarea ShellExecute), dar care nu a avut grijă de alte probleme observate în timpul examinării brute a codului.

Ormandy a remarcat, de exemplu, că una dintre API-urile utilizate de TrendMicro a creat „o construcție antică” de Chromium (versiunea 41 a browserului care este acum disponibilă ca versiunea 49) și că ar dezactiva cutia de nisip a browserului pe partea de sus pentru a oferi un „ browser sigur 'pentru utilizatorii săi.

Răspunsul său la TrendMicro a fost neclar:

Ai ascuns doar obiectele globale și ai invocat un shell-browser ...? ... și apoi numindu-l 'Browser securizat'?!? Faptul că rulați și o versiune veche cu --disable-sandbox adaugă doar insultă la vătămare.

Nici nu știu ce să spun - cum ai putea activa acest lucru * în mod implicit * pe toate mașinile clientului tău fără să obții un audit de la un consultant de securitate competent?

Nu în ultimul rând, Ormandy a descoperit că programul oferea o „API curată și frumoasă pentru accesarea parolelor stocate în managerul de parole” și că oricine a citit doar toate parolele stocate ”.

Utilizatorilor li se solicită instalarea să își exporte parolele browserului, dar este opțional. Cred că un atacator îl poate forța cu / exportBrowserPasswords API, deci chiar și asta nu ajută. Am trimis un e-mail care arata acest lucru:

În opinia mea, ar trebui să dezactivezi temporar această caracteristică pentru utilizatori și să-ți ceri scuze pentru întreruperea temporară, apoi să angajezi o consultanță externă pentru auditul codului. În experiența mea în relația cu furnizorii de securitate, utilizatorii iartă destul de mult greșelile dacă vânzătorii acționează rapid pentru a-i proteja odată informați despre o problemă, cred că cel mai rău lucru pe care îl puteți face este să lăsați utilizatorii expuși în timp ce curățați acest lucru. Alegerea este a ta, desigur.

Problema pare să nu fi fost rezolvată complet la momentul scrierii, în ciuda eforturilor TrendMicro și a mai multor patch-uri pe care compania le-a produs în ultimele două zile.

Software-ul de securitate inerent nesigur?

Principala întrebare care ar trebui să decurgă din aceasta este „cât de sigure sunt produsele de securitate”? Două probleme majore în două produse ale jucătorilor importanți din domeniul antivirus sunt motive de îngrijorare, mai ales că există șansa ca acestea să nu fie singurele care nu par să-și fi asigurat propriile produse în mod corespunzător.

Pentru utilizatorii finali, este aproape imposibil să se spună că ceva nu este în regulă, ceea ce îi lasă într-o situație precară. Pot avea încredere soluția lor de securitate pentru a păstra datele în siguranță sau este tocmai software-ul care ar trebui să-și asigure calculatoarele care le pun în pericol?