Project Google Zero: menedżer haseł od Trend Micro dziurawy jak sito

Wydawałoby się, że firmy produkujące oprogramowanie antywirusowe obowiązują szczególne standardy bezpieczeństwa: w ich przypadku nie chodzi bowiem tylko o skuteczność ochrony. Istnieje przecież możliwość kompromitacji w sytuacjach, gdy programy, które z założenia mają zapobiegać atakom na komputer użytkownika, umożliwiają kradzież danych. Niestety, nie zawsze ten standardy udaje się zachować, o czym dotkliwie przekonała się firma Trend Micro i użytkownicy jej ochrony oprogramowania.

Project Google Zero: menedżer haseł od Trend Micro dziurawy jak sito

13.01.2016 13:10

O rażącej podatności na ataki poinformował Tavid Ormandy, ekspert do spraw bezpieczeństwa zaangażowany w projekt Google Zero. Podczas testowania bezpieczeństwa oprogramowania antywirusowego Trend Micro, zwrócił on uwagę na moduł Password Manager, który, jak sugeruje sama nazwa, odpowiada za przechowywanie haseł wykorzystywanych w witrynach internetowych oraz oferuje ich szyfrowanie czy synchronizację pomiędzy urządzeniami.

Dear @trendmicro, wtf were you thinking? This bug is completely ridiculous. Will send full report in a minute. Sigh. pic.twitter.com/hEysaaht8f

— Tavis Ormandy (@taviso) styczeń 5, 2016Ormandy zauważył, że możliwy jest dostęp do portów, które pozwalają na zdalne wywoływanie procedur za pomocą protokołu HTTP. Jak informuje theregister.co.uk, możliwe było zdalne wykonanie komendy openUrlInDefaultBrowser, a następnie ShellExecute(). Nietrudno zatem domyślić się, że niezabezpieczone porty umożliwiały w zasadzie przejęcie całkowitej kontroli nad komputerem użytkownika korzystającego z Password Managera, w tym wymazanie danych z dysku twardego czy instalacje lub deinstalację oprogramowania.

Komenda uruchomiona zdalnie z witryny umożliwiała ponadto dostęp danych przechowywanych w samym Password Managerze: mogło to skutkować kradzieżą haseł wykorzystywanych przez użytkownika do weryfikacji na stronach internetowych, nawet jeśli zlecił on ich zaszyfrowanie.

Trend Micro opublikowało już łatkę, która zamyka porty umożliwiające wykonanie ShellExecute() oraz łata inne podatnosci. Wszystkim użytkownikom Password Managera zalecamy zatem możliwie jak najszybszą aktualizację oprogramowania.

Programy

Zobacz więcej
Zobacz także
Komentarze (15)