Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Błędy w spisie treści artykułu zgłaszaj jako "błąd w TREŚCI".
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschукраїнськийFrançaisEspañol中国

Trend Micro - Odkryto poważną lukę w pakiecie antywirusowym

LukasAMD | 12-01-2016 10:23 |

Producenci oprogramowania antywirusowego są często stawiani w roli prawdziwych wybawców, deweloperów, którzy są w stanie stworzyć oprogramowanie niemalże doskonałe – wiara w ich możliwości jest dla użytkowników istotna, chodzi przecież o ich bezpieczeństwo. Niestety, rzeczywistość bywa okrutna, a nawet w takich przypadkach zdarzają się poważne wpadki i uchybienia. Zespół Project Zero stworzony przez firmę Google zajmuje się wyszukiwaniem dziur w oprogramowaniu firm trzecich. Jego specjaliści znaleźli w ostatnim czasie poważne luki w antywirusach firmy Trend Micro. Producent został o tym facie powiadomiony i wydał awaryjną paczkę naprawczą, która usuwa defekty związane z możliwością wykonania nieautoryzowanego kodu i wycieku prywatnych danych użytkownika.

Menadżer haseł okazał się najsłabszym ogniwem.

Pakiety z rodziny Trend Micro nie są w Polsce tak popularne, jak niektórzy konkurenci. Nie oznacza to jednak, że produkty tej firmy nie są godne uwagi. Teraz zaufanie do nich może zostać znacznie osłabione. Wszystko za sprawą działań Tavisa Omandyego z Project Zero – ten specjalista od bezpieczeństwa w ostatnim czasie „uwziął się” na programy antywirusowe i regularnie przedstawia informacje o poważnych lukach w kolejnych aplikacjach tego typu. Znalazł on podatności także w produkcie Trend Micro i bardzo mocno skrytykował podejście producenta, uznając je za nieodpowiedzialne. Problem dotyczy wbudowanego w pakiet menadżera haseł, który jest instalowany i uruchamiany razem z systemem automatycznie, bez pytania kogokolwiek o zdanie.

Menadżer został napisany głównie w JavaScript, korzysta z node.js i otwiera wiele portów dla połączeń HTTP RPC do obsługi żądań do swojego API. Włamywacz potrzebuje jedynie 30 sekund, aby ominąć zabezpieczenia i uzyskać możliwość wykonywana na komputerze ofiary dowolnego nieautoryzowanego kodu. Co ważne, luka jest groźna, nawet gdy nie korzystamy z menadżera haseł – jest on automatycznie aktywny, może więc wykonywać dowolny kod. Jeżeli natomiast przechowujemy w nim nasze dane logowania do banków i innych istotnych miejsc, włamywacz może z łatwością je odczytać. Dzięki temu pozna adresy internetowe, loginy i hasła. Co gorsza, atak można przeprowadzić zdalnie i nie jest tu potrzebna interakcja użytkownika.

Czy możemy jeszcze ufać producentom antywirusów?

Travis określił się jasno: to tak, jakby wystawić wszystkie nasze dane na widok publiczny, jakby oddać włamywaczom cały komputer. Producent antywirusa zareagował szybko i wydał już paczkę naprawczą, ale Omandy nie jest do końca zadowolony. Pakiet nadal udostępnia ponad 70 interfejsów programistycznych z dostępem przez Internet. Informacje o luce nie zostaną ujawnione publicznie – zespół Project Zero robi to po 90 dniach od wykrycia luki w razie braku reakcji ze strony producenta oprogramowania, którego podatność dotyczy.

Źródło: Google Security Research
Bądź na bieżąco - obserwuj PurePC.pl na Google News
Zgłoś błąd
Łukasz Tkacz
Liczba komentarzy: 10

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.