如果你电脑上安装了趋势科技(Trend Micro)的杀毒软件,那么此时你需要当心啦。因为你的电脑可能会被远程劫持,甚至通过一个网站就能感染任何恶意软件,这都是因为存在于趋势科技安全软件中的一个严重漏洞。
趋势科技杀软曝严重漏洞
著名杀毒软件制造商兼安全公司趋势科技发布了一个紧急补丁,以此来修复其杀毒软件产品中存在的几个严重漏洞,这些漏洞允许黑客远程执行任意命令,并可以窃取用户使用其杀毒软件中内置的密码管理器所保存的密码。
这个密码管理工具是与其主要的杀毒软件绑定在一起的,用于存储用户密码,工作起来就像任何其他密码管理器应用程序一样。
远程窃取密码
谷歌的Project Zero安全研究员Tavis Ormandy发现,趋势科技的杀毒软件的密码管理器组件中存在一个远程代码执行漏洞,允许黑客盗取用户的密码。简而言之,一旦你的电脑被入侵,那么你所有的账户密码将一去不复返。
从技术上来讲,通过在本地计算机上启动一个Node.js服务器,杀毒软件套件内的密码管理器组件才开始工作,默认情况下是在每次杀毒软件启动时。Ormandy在分析这个密码管理器组件时发现, Node.js服务器将大量用于处理API请求的HTTP RPC端口暴露到互联网上。
在http://localhost:49155/api/处可以访问,黑客可以精心制作恶意链接,当安装了趋势科技杀毒软件的用户单击此链接时,就能在不与用户进行任何交互的情况下在本地计算机上执行任意代码。
简而言之,远程攻击者可以在你的计算机上很容易地下载并执行恶意代码,而这些都是在你毫无觉察的情况下进行的。除此之外,Ormandy还发现,趋势科技的密码管理器还通过相同的Node.js服务器暴露了70多个API。
更多问题?趋势科技使用自签名的SSL证书
就像联想的Superfish和戴尔的eDellRoot,趋势科技也在其用户的证书存储中增加了一个自签名的HTTPS安全证书,该证书可以截获用户访问的每一个网站的加密流量,这样其用户将不会看到任何HTTPS错误。Ormandy表示“这种做法是相当荒谬的”。
Ormandy将这个问题报告给了趋势科技团队,并帮助他们开发了一个安全补丁,目前可用于解决远程代码执行漏洞。所以,建议趋势科技杀毒软件用户尽快更新他们的杀毒软件。
