トレンドマイクロのパスワードマネージャはリモートコマンド実行ホールとダンプされたデータを誰にも持っていました:Project Zero

Trend Micro AntiVirusにデフォルトでインストールされているパスワード管理ツールは、GoogleのProject Zeroセキュリティチームの協力のおかげでリモートコード実行の脆弱性が確認されています。

Project ZeroのTavis Ormandyによって発見されたパスワードツールは、JavaScriptとnode.jsを使用して構築され、ホワイトリストまたは同じ発信元ポリシーを使わずにAPIコマンドを聞くローカルWebサーバーを開始しました。

「最終的にShellExecute()にマップされるopenUrlInDefaultBrowserは、任意のコマンド実行を許可する場所を探すのに約30秒かかりました」とOrmandy氏は書いています。

「MOTW [Mark of the Web]をバイパスして、何のプロンプトも表示せずにコマンドを出すことさえ可能です。」

セキュリティ研究者によると、トレンドマイクロが初期の修正を出した後も、まだ約70のAPIコールがインターネットに公開されていた。

「/ api / showSBエンドポイントで、古くなったChromium(バージョン41)のビルドが–disable-sandboxで起動することに気がつきました。傷害を加えるために、UserAgentに ‘(Secure Browser)’を追加します。 Ormandyは言った。

「私は今までに見た中で最もばかげたことだ」というメールを送った。

“私は何を言いたいのか分からない – 有能なセキュリティコンサルタントからの監査を受けることなく、どのようにすべてのお客様のマシンでこの問題をデフォルトで有効にすることができるのか?

Ormandy氏はまた、パスワードマネージャーは、パスワードマネージャーがその中に保存されているすべてのパスワードを攻撃者にダンプできることに気付きました。

「インターネット上の誰でもあなたのパスワードを完全に盗み出すことができるだけでなく、ユーザーの操作を意識しない任意のコードを実行することができます。これについて驚いているので、この重大さはあなたには分かります。セキュリティベンダー。

結局のところ、トレンドマイクロはコマンドの起点チェックを追加し、pwm.trendmicro.comドメインをホワイトリストに追加しました.Ormandy氏は、ドメインがクロスサイトスクリプティングの脆弱性に対して脆弱でない限り、動作するはずだと述べました。

また、セキュリティベンダーは、ローカルマシンの証明書ストアに自己署名入りの証明書を追加するという、eDellRootを搭載したSuperfishとDellのLenovoと同じトラップに落ちた。

米連邦捜査局(FBI)は、Crackasのメンバーを逮捕し、米国の公職者をハッキングする態度をとっている; WordPressは、ユーザーに重大なセキュリティホールを修正するように今更新するよう促し、連邦最高情報セキュリティオフィサーをホワイトハウスが任命する;ペンタゴンは、

セキュリティ:FBIがFUDを超えてどのように移行するか、イノベーション、M2M市場がブラジルに戻ってくる、セキュリティ、FBIがCrackasのメンバーを逮捕、米国の政府関係者をハッキングした姿勢、セキュリティ、Wordpress重要なセキュリティホールを修正するようになりました

「TrendMicroは、信頼できるストアにlocalhostの自己署名https証明書を追加するので、セキュリティエラーを一切クリックする必要はありません」とOrmandy氏は述べています。

Googleは、インターネット上のセキュリティを向上させるという目標を掲げて、2014年7月にProject Zeroを開始しました。

セキュリティの基礎を再考する:FUDを超えて移動する方法

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す