|
|
Trend Micro缺陷可能允许攻击者窃取所有密码.灰鸽子下载,远程控制软件
趋势和另一个远程执行缺陷修补这个问题
一家有名的Google安全研究人员提供了一个发现进一步证明如何杀毒软件旨在保护计算机免受攻击有时可以为黑客提供了门口。
Tavis听完,一个与谷歌的信息安全工程师,写他发现bug在趋势科技的杀毒软件,可能允许远程代码执行的任何网站,窃取用户的密码。
安全公司已经证实它发布了一个自动更新,修复这些问题。
”作为我们的标准的漏洞响应过程的一部分,我们与他合作,识别和解决漏洞,”克里斯托弗·巴德写道,全球威胁趋势科技通讯经理周一在一份电子邮件。“客户目前正在通过自动更新保护。”
听完了邮件他与趋势官员交换,偶尔表达了他的失望情绪,因为该公司没有移动速度不够快。
“这意味着任何人在互联网上静静地完全可以偷走你所有的密码,以及执行任意代码与零用户交互,“听完写道。“我真的希望这是清楚你的重力,因为我对此惊讶。”
趋势的杀毒软件有一个密码管理器,用户可以选择出口他们的密码。密码管理器是用JavaScript和打开多个远程过程调用HTTP端口处理API请求,听完写道。
在30秒听完写道,他发现了一个可以接受远程代码。他还发现一个API,允许他访问密码存储在经理。
总的来说,听完写道,他发现70多个api暴露到互联网上,并不是所有的他追究安全问题。他建议趋势应该聘请外部咨询公司审计代码。
杀毒应用程序与高层的特权运行操作系统,这意味着利用漏洞可以让攻击者深入访问计算机。
许多严重的漏洞被发现在过去的七个月的杀毒产品供应商包括卡巴斯基实验室,分野,停住,AVG技术,英特尔安全(原名McAfee)和伪。 |
|
加载中...
发表于 2016-1-12 23:24:25
发表于 2016-1-12 23:24:29