Kuinka turvallisia turvatuotteet ovat? Ensimmäinen AVG, nyt TrendMicro, jolla on suuria puutteita

• Luokka: Turvallisuus

Kokeile Instrumenttia Ongelmien Poistamiseksi

Valitse Käyttöjärjestelmä Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valitse Projektio -Ohjelma (Valinnaisesti) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kuvaile Ongelmasi

Saada Vastausta

Lähetä Minut Sähköpostitse Näytä Sivustolla

Google-tutkija Tavis Ormandy löysi äskettäin Windowsin TrendMicro Antivirus -sovelluksen salasananhallintakomponentissa merkittävän puutteen, jolla oli useita tärkeitä tietoturvaongelmia, jotka muun muassa sallivat verkkosivustojen suorittaa mielivaltaisia ​​komentoja, paljastaa kaikki tallennetut salasanat tai käyttää 'suojattua selainta 'Se ei ole lainkaan turvallista.

Vaikuttaa siltä, ​​että Google tutkii parhaillaan Windowsin tietoturvatuotteita ja erityisesti niitä, jotka ovat tavalla tai toisella vuorovaikutuksessa Chromen selaimen tai Chromiumin kanssa.

Yhtiö hämärsi AVG: tä avoimesti tammikuun alussa Chromen Web TuneUp -laajennukselle, koska tietoturvahäiriöt vaarantavat 9 miljoonaa sitä käyttävää Chromen käyttäjää.

TuneUp, asennettuna AVG-tietoturvaohjelmistoon tai erikseen, asettaa Chromen käyttäjät vaaraan poistamalla ”verkkoturvan” Chromen käyttäjille, jotka olivat asentaneet laajennuksen.

AVG tuotti lopulta korjauksen (tarvitsi siihen kaksi yritystä, ensimmäinen hylättiin, koska se ei ollut riittävä).

TrendMicro Password Manager -turvallisuusongelma

Ja nyt Trend Micro hämmentää Googlea avoimesti. Ormandyn mukaan Password Manager -komponentti on syyllinen tällä kertaa, joka asennetaan automaattisesti TrendMicro Antivirus for Windows -ohjelmistoon ja käynnistyy käynnissä ( ja myös saatavana itsenäisenä ohjelmana ja sovelluksena).

Tämä tuote on kirjoitettu pääosin JavaScript-muodossa node.js: llä, ja se avaa useita HTTP RPC -portteja API-pyyntöjen käsittelemiseen.

Kesti noin 30 sekuntia havaita mielivaltaisen komennon suorittamista mahdollistava openUrlInDefaultBrowser, joka lopulta karttaa ShellExecute (): ta.

Tämä tarkoittaa, että mikä tahansa verkkosivusto voi käynnistää mielivaltaisia ​​komentoja [..]

Vastauksessaan TrendMicro-työntekijälle Ormandy lisäsi seuraavat tiedot:

Hei, halusin vain tarkistaa, onko täällä päivityksiä? Tätä on triviaalisesti hyödynnettävissä ja löydettävissä oletusasennuksessa ja ilmeisesti toistettavissa. Mielestäni sinun tulisi kutsua ihmisiä tämän korjaamiseksi.

FWIW: n avulla on jopa mahdollista ohittaa MOTW, ja kutoa komentoja ilman minkäänlaisia ​​kehotuksia. Helppo tapa tehdä tämä (testattu Windows 7: ssä) olisi ladata HTA-tiedostoa sisältävä zip-tiedosto automaattisesti ja vedota siihen sitten [..]

Ensimmäinen rakenne, jonka TrendMicro lähetti Travis Ormandylle tarkistamista varten, korvasi yhden ohjelman tärkeimmistä kysymyksistä (ShellExecute-ohjelman käyttö), mutta se ei hoitanut muita ongelmia, jotka havaittiin koodin karkean tutkinnan aikana.

Ormandy totesi esimerkiksi, että yksi TrendMicron käyttämistä sovellusliittymistä synnytti 'muinaisen' Chromium-kokoonpanon (selaimen versio 41, joka on nyt saatavana versiona 49) ja että se poistaisi selaimen hiekkalaatikon sen päälle tarjotakseen ' suojattu selain 'käyttäjilleen.

Hänen vastauksensa TrendMicroon oli tylsä:

Piilotit vain globaaleja esineitä ja vedotit selaimen kuoreen ...? ... ja sitten kutsutaan sitä 'Suojatuksi selaimeksi'?!? Se, että käytät myös vanhaa versiota --disable-sandbox -sovelluksella, lisää loukkaantumista loukkaantumiseen.

En edes tiedä mitä sanoa - miten voisit ottaa tämän asian käyttöön * oletusarvoisesti * kaikissa asiakaskoneissasi ilman, että saisit tarkastusta toimivaltaiselta turvallisuuskonsulttilta?

Viimeisenä, mutta ei vähäisimpänä, Ormandy havaitsi, että ohjelma tarjosi ”mukavan puhtaan sovellusliittymän salasanahallintaan tallennettujen salasanojen käyttämistä varten” ja että kuka tahansa vain luki kaikki tallennetut salasanat ”.

Käyttäjiä pyydetään asennuksessa viemään selaimessa salasanansa, mutta se on valinnainen. Uskon, että hyökkääjä voi pakottaa sen / exportBrowserPasswords API -sovelluksella, joten edes siitä ei ole apua. Lähetin sähköpostiviestin, joka osoitti tämän:

Mielestäni sinun pitäisi poistaa tämä ominaisuus väliaikaisesti käyttäjiltä ja pyytää anteeksi väliaikaista häiriötä ja sitten vuokrata ulkopuolinen konsultti koodin tarkistamista varten. Turvallisuusmyyjien kanssa käymästäni kokemuksesta käyttäjät antavat melko anteeksi virheet, jos toimittajat toimivat nopeasti suojelemaan heitä, kun heille on ilmoitettu ongelmasta. Mielestäni pahin asia, jonka voit tehdä, on antaa käyttäjien paljastua, kun siivoat tämän asian. Valinta on tietysti sinun.

Asiaa ei näytä olevan korjattu kokonaan kirjoittamishetkellä huolimatta TrendMicron ponnisteluista ja useista korjauksista, joita yritys on valmistanut parin viime päivän aikana.

Turvaohjelmistot ovat luontaisesti epävarmoja?

Pääkysymys, jonka tämän pitäisi tulla esiin, on 'kuinka turvalliset turvatuotteet'? Virustentorjunta-alan suurten toimijoiden kaksi tärkeätä kysymystä kahdessa tuotteessa aiheuttavat huolta, varsinkin kun on mahdollista, että he eivät ole ainoat, jotka eivät näytä varmistavan omia tuotteitaan kunnolla.

Loppukäyttäjille on lähes mahdotonta sanoa, että jotain on vialla, mikä jättää heidät epävarmaan tilanteeseen. Voivatko he luottaa tietoturvaratkaisuunsa tietojen pitämiseksi turvassa, vai vaarantaako tietoturva tietokoneensa suojaamiseksi juuri ohjelmiston?