Ar saugu naudoti apsaugos produktus? Pirmasis AVG, dabar „TrendMicro“ su dideliais trūkumais

• Kategorija: Saugumas

Išbandykite Mūsų Instrumentą, Kaip Pašalinti Problemas

Pasirinkite Operacinę Sistemą Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pasirinkite Projekcijos Programą (Pasirinktinai) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Apibūdinkite Savo Problemą

Gaukite Atsakymą

Atsiųskite Man El. Paštu Rodyti Svetainėje

„Google“ tyrėjas Tavisas Ormandy neseniai aptiko „TrendMicro Antivirus for Windows“ slaptažodžių tvarkymo komponento trūkumą, kuris turėjo keletą pagrindinių saugos problemų, kurios, be kita ko, leis svetainėms vykdyti savavališkas komandas, atskleisti visus saugomus slaptažodžius ar paleisti „saugią naršyklę“. „tai visiškai nėra saugu.

Panašu, kad „Google“ šiuo metu tiria „Windows“ saugos produktus, ypač tuos, kurie vienaip ar kitaip sąveikauja su „Chrome“ žiniatinklio naršykle ar „Chromium“.

Bendrovė atvirai sugėdino AVG sausio mėnesio pradžioje dėl „Chrome“ skirto „TuneUp“ plėtinio, nes dėl saugumo trūkumų rizikavo 9 milijonai „Chrome“ vartotojų.

„TuneUp“, įdiegta kartu su AVG saugos programine įranga arba atskirai, sukėlė „Chrome“ vartotojams pavojų išjungiant „interneto apsaugą“ „Chrome“ vartotojams, kurie įdiegė plėtinį.

Galiausiai AVG pateikė taisymą (tam reikėjo dviejų bandymų, pirmasis buvo atmestas, nes to nepakako).

„TrendMicro Password Manager“ saugos problema

Ir dabar „Trend Micro“ atvirai gėdijasi „Google“. Anot „Ormandy“, šį kartą kaltininkas yra „Password Manager“ komponentas, kuris automatiškai įdiegiamas kartu su „TrendMicro Antivirus“, skirta „Windows“, ir paleistas paleidžiant ( taip pat yra kaip atskira programa ir programa).

Šis produktas pirmiausia parašytas „JavaScript“ su node.js ir atidaro kelis HTTP RPC prievadus API užklausoms tvarkyti.

Tai užtruko maždaug 30 sekundžių, kai buvo galima rasti vieną, leidžiantį vykdyti savavališką komandą, „openUrlInDefaultBrowser“, kuris galiausiai susieja su „ShellExecute“ ().

Tai reiškia, kad bet kuri svetainė gali paleisti savavališkas komandas [..]

Atsakydamas „TrendMicro“ darbuotojui, „Ormandy“ pridėjo šią informaciją:

Ei, tiesiog norėjau patikrinti, ar čia yra kokių nors atnaujinimų? Tai iš tikrųjų yra išnaudojama ir randama numatytajame diegime, ir akivaizdu, kad ji nėra veiksminga - mano nuomone, jūs turėtumėte ieškoti žmonių, kad tai būtų ištaisyta.

FWIW, netgi įmanoma apeiti MOTW ir paskelbti komandas be jokių raginimų. Paprastas būdas tai padaryti (išbandytas „Windows 7“) būtų automatiškai atsisiųsti ZIP failą, kuriame yra HTA failas, ir tada jį panaudoti [..]

Pirmasis statinys, kurį „TrendMicro“ perdavė „Travis Ormandy“ patvirtinti, išsprendė vieną iš pagrindinių programos problemų („ShellExecute“ naudojimas), tačiau tuo nebuvo pasirūpinta kitomis problemomis, pastebėtomis atliekant grubų kodo tyrimą.

Pavyzdžiui, Ormandy pastebėjo, kad viena iš „TrendMicro“ naudojamų API sukūrė „senovinį“ „Chromium“ (41 naršyklės versija, kuri dabar pasiekiama kaip 49 versija) ir kad ji neleis naršyklės smėlio dėžės, kad pasiūlytų „ saugi naršyklė “savo vartotojams.

Jo atsakymas „TrendMicro“ buvo niūrus:

Jūs tiesiog slėpėte globalius objektus ir kvietėte naršyklės apvalkalą ...? ... ir tada pavadinti ją „saugia naršykle“?!? Tai, kad jūs taip pat naudojate seną versiją su --disable-sandbox, tiesiog padidina įžeidimą.

Aš net nežinau, ką pasakyti - kaip galėtumėte įgalinti šį dalyką * pagal nutylėjimą * visuose savo klientų kompiuteriuose negaudami patikrinimo iš kompetentingo saugumo konsultanto?

Paskutinis, bet ne mažiau svarbus dalykas - „Ormandy“ atrado, kad programa pasiūlė „gražų švarų API prieigą prie slaptažodžių tvarkytuvėje saugomų slaptažodžių“ ir kad visi tiesiog perskaito visus saugomus slaptažodžius “.

Vartotojai raginami diegti, kad galėtų eksportuoti naršyklės slaptažodžius, tačiau tai neprivaloma. Manau, kad užpuolikas gali jį priversti naudodamas / exportBrowserPasswords API, taigi net tai nepadeda. Aš nusiunčiau laišką, kuriame nurodiau:

Mano nuomone, turėtumėte laikinai išjungti šią funkciją vartotojams ir atsiprašyti už laikiną trikdymą, tada pasamdyti išorinę konsultantą kodo tikrinimui. Remdamasis patirtimi, susijusia su apsaugos tiekėjais, vartotojai gana dažnai atleidžia už klaidas, jei pardavėjai greitai imasi veiksmų, kad tik būtų informuoti apie problemą. Manau, kad blogiausia, ką galite padaryti, tai palikti vartotojus veikiamiems, kol sutvarkysite šį reikalą. Žinoma, jūs turite pasirinkti.

Atrodo, kad rašymo metu problema nebuvo visiškai išspręsta, nepaisant „TrendMicro“ pastangų ir kelių pataisų, kuriuos bendrovė pagamino per pastarąsias porą dienų.

Saugumo programinė įranga iš esmės nesaugi?

Pagrindinis klausimas, kuris turėtų kilti iš to, yra „kiek saugūs yra apsaugos produktai“? Dvi pagrindinės antivirusinės srities žaidėjų problemos, susijusios su dviem produktais, kelia nerimą, juolab kad yra tikimybė, kad jie nėra vieninteliai, kurie, atrodo, tinkamai neužtikrino savo produktų.

Galutiniams vartotojams beveik neįmanoma pasakyti, kad kažkas yra ne taip, dėl ko jie atsiduria keblioje padėtyje. Ar jie gali pasitikėti savo saugumo sprendimu, kad užtikrintų savo duomenų saugumą, ar tai rizikuoja pati programinė įranga, turinti apsaugoti jų kompiuterius?