Jak bezpieczne są produkty zabezpieczające? Najpierw AVG, teraz TrendMicro z poważnymi wadami

• Kategoria: Bezpieczeństwo

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

Badacz Google Tavis Ormandy odkrył ostatnio poważną lukę w komponencie menedżera haseł TrendMicro Antivirus dla Windows, która miała kilka poważnych problemów z bezpieczeństwem, które między innymi umożliwiały witrynom wykonywanie dowolnych poleceń, ujawnianie wszystkich przechowywanych haseł lub uruchamianie `` bezpiecznej przeglądarki '' „to wcale nie jest bezpieczne.

Wygląda na to, że Google bada obecnie produkty zabezpieczające w systemie Windows, a szczególnie te, które w taki czy inny sposób wchodzą w interakcję z przeglądarką internetową Chrome lub Chromium.

Firma otwarcie zawstydziła AVG na początku stycznia za rozszerzenie Web TuneUp dla Chrome, ponieważ luki w zabezpieczeniach narażają 9 milionów użytkowników Chrome na ryzyko.

TuneUp, instalowany z oprogramowaniem zabezpieczającym AVG lub osobno, stanowi zagrożenie dla użytkowników Chrome, wyłączając „zabezpieczenia internetowe” dla użytkowników Chrome, którzy zainstalowali rozszerzenie.

Firma AVG w końcu stworzyła poprawkę (wymagała dwóch prób, pierwsza została odrzucona, ponieważ nie była wystarczająca).

Problem z zabezpieczeniami TrendMicro Password Manager

I teraz to Trend Micro jest otwarcie zawstydzany przez Google. Według Ormandy, tym razem winowajcą jest komponent Password Manager, który jest instalowany automatycznie wraz z TrendMicro Antivirus dla Windows i uruchamia się przy starcie ( i również dostępne jako samodzielny program i aplikacja).

Ten produkt jest głównie napisany w JavaScript z node.js i otwiera wiele portów HTTP RPC do obsługi żądań API.

Zajęło około 30 sekund, aby znaleźć taki, który pozwala na wykonanie dowolnego polecenia, openUrlInDefaultBrowser, który ostatecznie mapuje do ShellExecute ().

Oznacza to, że każda witryna internetowa może uruchamiać dowolne polecenia [..]

W odpowiedzi dla pracownika TrendMicro Ormandy dodał następujące informacje:

Hej, chciałem tylko sprawdzić, czy jest tu jakaś aktualizacja? Jest to trywialnie możliwe do wykorzystania i wykrywalne w domyślnej instalacji, i oczywiście robiące się robaki - moim zdaniem powinieneś stronicować ludzi, aby to naprawić.

FWIW, możliwe jest nawet ominięcie MOTW i odrodzenie poleceń bez żadnych podpowiedzi. Łatwym sposobem na to (przetestowanym w systemie Windows 7) byłoby automatyczne pobranie pliku ZIP zawierającego plik HTA, a następnie wywołanie go [..]

Pierwsza kompilacja, którą TrendMicro przesłała do Travis Ormandy w celu weryfikacji, rozwiązała jeden z głównych problemów programu (użycie ShellExecute), ale nie rozwiązała innych problemów zauważonych podczas zgrubnego badania kodu.

Ormandy zauważył na przykład, że jeden z interfejsów API używanych przez TrendMicro spowodował powstanie `` starożytnej '' wersji Chromium (wersja 41 przeglądarki, która jest teraz dostępna jako wersja 49) i że wyłączyłby piaskownicę przeglądarki, aby zaoferować ' bezpieczną przeglądarkę ”dla swoich użytkowników.

Jego odpowiedź dla TrendMicro była dosadna:

Właśnie ukrywałeś obiekty globalne i wywoływałeś powłokę przeglądarki ...? ... a potem nazywając ją „Bezpieczną przeglądarką”?!? Fakt, że używasz również starej wersji z opcją --disable-sandbox, tylko dodaje zniewagi do obrażeń.

Nie wiem nawet, co powiedzieć - jak możesz włączyć tę funkcję * domyślnie * na wszystkich komputerach klientów bez uzyskania audytu od kompetentnego konsultanta ds. Bezpieczeństwa?

Wreszcie Ormandy odkrył, że program oferuje „ładne, czyste API do uzyskiwania dostępu do haseł przechowywanych w menedżerze haseł” i że każdy może po prostu odczytać wszystkie zapisane hasła ”.

Użytkownicy są proszeni o wyeksportowanie haseł przeglądarki podczas instalacji, ale jest to opcjonalne. Myślę, że osoba atakująca może wymusić to za pomocą / exportBrowserPasswords API, więc nawet to nie pomaga. Wysłałem e-mail wskazujący na to:

Moim zdaniem należy tymczasowo wyłączyć tę funkcję dla użytkowników i przeprosić za tymczasowe zakłócenia, a następnie zatrudnić zewnętrznego konsultanta do audytu kodu. Z mojego doświadczenia w pracy z dostawcami zabezpieczeń wynika, że ​​użytkownicy wybaczają błędy, jeśli dostawcy działają szybko, aby ich chronić, gdy zostaną poinformowani o problemie. Myślę, że najgorszą rzeczą, jaką możesz zrobić, jest wystawienie użytkowników na działanie podczas czyszczenia tego problemu. Oczywiście wybór należy do Ciebie.

Wydaje się, że problem nie został całkowicie rozwiązany w momencie pisania tego tekstu, pomimo wysiłków TrendMicro i kilku łatek, które firma wyprodukowała w ciągu ostatnich kilku dni.

Oprogramowanie zabezpieczające jest z natury niepewne?

Głównym pytaniem, które powinno wyniknąć z tego, jest „jak bezpieczne są produkty zabezpieczające”? Dwa poważne problemy w dwóch produktach, zgłoszone przez głównych graczy w dziedzinie antywirusów, są powodem do niepokoju, zwłaszcza że istnieje szansa, że ​​nie są oni jedynymi, którzy nie zabezpieczają odpowiednio swoich produktów.

Dla użytkowników końcowych prawie niemożliwe jest stwierdzenie, że coś jest nie tak, co stawia ich w niepewnej sytuacji. Czy mogą ufać swojemu rozwiązaniu zabezpieczającemu, które zapewni bezpieczeństwo ich danych, czy też to samo oprogramowanie powinno zabezpieczać ich komputery, które narażają je na ryzyko?