Koliko su sigurni sigurnosni proizvodi? Prvo AVG, sada TrendMicro s velikim nedostacima

• Kategorija: Sigurnosti

Isprobajte Naš Instrument Za Uklanjanje Problema

Odaberite Operativni Sustav Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Odaberite Program Projekcije (Po Želji) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opišite Svoj Problem

Dobiti Odgovor

Pošaljite Mi E -Mail Prikaži Na Mjestu

Google-ov istraživač Tavis Ormandy otkrio je nedavno veliku grešku u komponenti upravitelja lozinki TrendMicro Antivirus za Windows koja je imala nekoliko glavnih sigurnosnih problema koji će, između ostalog, omogućiti web-lokacijama pokretanje proizvoljnih naredbi, otkrivanje svih pohranjenih lozinki ili pokretanje sigurnog preglednika 'to uopće nije sigurno.

Čini se da Google trenutno istražuje sigurnosne proizvode na Windows-u, a posebno postoje oni koji na jedan ili drugi način komuniciraju s Chrome preglednikom ili Chromiumom.

Tvrtka je otvoreno osramotila AVG početkom siječnja zbog proširenja Web TuneUp za Chrome zbog propusta u sigurnosti doveo je u opasnost 9 milijuna Chromovih korisnika koji ga koriste.

TuneUp, instaliran s AVG sigurnosnim softverom ili zasebno, dovodi korisnike Chromea u rizik tako što će onemogućiti 'web-sigurnost' za Chrome korisnike koji su instalirali proširenje.

AVG je na kraju stvorio ispravku (za to su bila potrebna dva pokušaja, prvi je odbijen jer nije bio dovoljan).

Pitanje sigurnosti TrendMicro Password Manager

A sada Trend Micro Google se otvoreno stidi. Prema Ormandyju, krivac je ovaj put komponenta Password Manager koja se automatski instalira s TrendMicro Antivirusom za Windows i pokreće se u startu ( i također dostupno kao samostalni program i aplikacija).

Ovaj je proizvod prvenstveno napisan u JavaScript-u s node.js, a otvara više HTTP RPC portova za rukovanje API zahtjevima.

Bilo je potrebno otprilike 30 sekundi da biste uočili onu koja dopušta proizvoljno izvršavanje naredbe, openUrlInDefaultBrowser, koja se na kraju preslikava u ShellExecute ().

To znači da bilo koja web stranica može pokrenuti proizvoljne naredbe [..]

U odgovoru zaposlenik tvrtke TrendMicro Ormandy dodao je sljedeće podatke:

Hej, samo sam htio provjeriti ima li ovdje ažuriranja? To je trivijalno iskoristiv i otkrit u zadanoj instalaciji, i očito je izvodljivo - po mom mišljenju, trebali biste zvati ljude da to riješe.

FWIW, čak je moguće i zaobići MOTW i neisporučene naredbe bez ikakvih upita. Jednostavan način da to učinite (testirano na Windows 7) bio bi automatski preuzimanje zip datoteke koja sadrži HTA datoteku i zatim je pozivanje [..]

Prva konstrukcija koju je TrendMicro poslao Travisu Ormandyju na provjeru utvrdila je jedno od glavnih problema programa (korištenje ShellExecute-a), ali to nije vodilo računa o drugim problemima uočenim tijekom grubog ispitivanja koda.

Ormandy je primjerice napomenuo da je jedan API koji TrendMicro upotrebljava stvorio 'drevnu' verziju Chromium-a (verzija 41 preglednika koja je sada dostupna kao inačica 49) i da će onemogućiti kutiju s vrećama pijeska iznad toga da ponudi ' siguran preglednik 'svojim korisnicima.

Njegov odgovor za TrendMicro bio je tup:

Upravo ste skrivali globalne objekte i pozvali ljusku preglednika ...? ... a onda ga nazivamo 'Sigurnim preglednikom'?!? Činjenica da također pokrećete staru verziju s - onesposobljivač-pijesak samo dodaje uvredu ozljeđivanju.

Ne znam ni što bih rekao - kako biste mogli omogućiti ovu stvar * po zadanom * na svim svojim kupcima bez da dobijete reviziju od kompetentnog savjetnika za sigurnost?

Posljednje, ali ne najmanje bitno, Ormandy je otkrio da program nudi 'lijepo čist API za pristup lozinkama pohranjenim u upravitelju lozinki', te da je itko samo pročitao sve pohranjene lozinke '.

Korisnici će zatražiti da instaliraju izvoz svojih lozinki preglednika, ali to nije obavezno. Mislim da napadač može to natjerati putem / exportBrowserPasswords API-ja, tako da ni to ne pomaže. Poslao sam poruku e-pošte koja je ukazala na ovo:

Po mom mišljenju, trebali biste privremeno onemogućiti ovu značajku korisnicima i ispričati se zbog privremenog poremećaja, a zatim angažirati vanjsko savjetovanje za reviziju koda. Prema mom iskustvu s dobavljačima sigurnosti, korisnici opraštaju od grešaka ako prodavači djeluju brzo kako bi ih zaštitili nakon što obavijeste o problemu, mislim da je najgora stvar koju možete učiniti da ostavite korisnike izložene dok ovo čišćenjete. Izbor je, naravno, vaš.

Čini se da problem nije u potpunosti riješen u vrijeme pisanja teksta, usprkos naporima TrendMicro-a i nekoliko zakrpa koje je tvrtka proizvela u posljednjih nekoliko dana.

Sigurnosni softver sam po sebi nesiguran?

Glavno pitanje koje bi iz toga trebalo proizaći je 'koliko su sigurni sigurnosni proizvodi'? Dva glavna problema glavnih proizvođača u antivirusnom polju dva proizvoda uzrokuju zabrinutost, posebno jer postoji vjerojatnost da oni nisu jedini koji izgleda da nisu pravilno osigurali svoje vlastite proizvode.

Za krajnje korisnike gotovo je nemoguće reći da nešto nije u redu što ih ostavlja u nesigurnoj situaciji. Mogu li vjerovati njihovom sigurnosnom rješenju kako bi zaštitili svoje podatke ili je rizik izložen upravo softveru koji bi trebao osigurati njihova računala?