趋势PC-cillin密码管理惊爆漏洞,防毒软件恐成PC遭骇帮凶,Google专家直批荒谬
http://www.ithome.com.tw/news/103127
Google Project Zero研究员Tavis Ormandy揭露趋势科技PC-cillin密码管理通的漏洞。
原本用于保护电脑的防毒软件,反而可能变成骇客入侵电脑的帮凶。全球宣称拥有百万使
用者安装的防毒软件PC-cillin功能惊爆大漏洞。日前,一位多次发现防毒软件漏洞的
Google Project Zero的抓虫大队资安研究员Tavis Ormandy 发现 PC-cillin软件密码管
理机制(Password Manager)有漏洞,恐导致恶意网页能够远端执行在本机端的任意指令
,甚至下指令删除使用者电脑上的硬盘资料或者植入入恶意程式皆可。台湾趋势科技产品
经理朱芳薇表示,已经紧急修复问题,并列入强制自动更新项目,使用者只要确认密码管
理通更新到最新版后就不会受影响。
漏洞恐让任何| | |网页远端执行任何本地端指令,或窃取任何网站密码
塔维斯Ormandy 表示,趋势科技这个密码Manager是利用JavaScript写成,在本地端执行
时则是使用跨平台的Node.js执行环境。但他发现,安装后会在Windows环境上会出现数个
用来处理API呼叫的HTTP远端程序呼叫(RPC)通讯埠,骇客可以透过这些HTTP远端呼叫来
执行本地端的ShellExcute函数,任意执行本地端的各种指令。
发现多次防毒软件漏洞的谷歌工程零的抓虫的的大队研究员塔维斯Ormandy 示范只要在网
址输入特定网址指令,就可以执行本地端任何程式,例如下图为开启计算机的示范。
http://goo.gl/eNguwT
C:\ / S / Q 管理中的密码和网址汇出,造成使用者的密码外泄。
谷歌抓虫大队专家直批产品设计荒谬,建议找资安顾问稽核产品
的Tavis奥曼迪质疑,用的的JavaScript开发的密码Manager是透过浏览器来执行,但是趋
势却关闭了执行环境的浏览器安全沙箱功能,此举让人无法理解。他以“荒谬”形容这样
的设计,他说,从资安稽核的角度来看,Password Manager还有将近70个API可以透过网
际网络存取,姑且不论其安全性,但每个API就是一个让骇客可以存取系统机密的机会,
资安公司写的产品功能,不应该出现这样的情况。他甚至呼吁,趋势应该赶快寻求资安顾
问来稽核产品的安全性。
而朱芳薇表示,趋势科技在台湾时间1月6日凌晨5点多收到Google研究员的通报后,立即
启动漏洞修补程序,也将修补的程式拿给 Tavis 奥曼迪验证,并且陆续在1月9日,11日
两度自动强制更新(ActiveUpdates)PC-cillin产品安全性,预计在1月14日还会第三度
更新产品安全性。
密码管理通是PC-cillin的扩充工具,可自动记忆不同网站的密码,也提供单一密码自动
登入的机制,在趋势PC-cillin防毒软件的Maximum安全10(完整版)和高级安全10则是内
建功能。
朱芳薇表示,漏洞仅影响PC-cillin用户有安装密码管理通者,未影响其他趋势科技产品
,她说,密码管理通升级到3.5.0.1298版以上就不受漏洞影响,使用者也应该立即手动更
新,以确保系统安全。
多家防毒产品同样被谷歌抓虫大队找到漏洞
只是不科技趋势的防毒产品被谷歌抓虫的大队资安研究员塔维斯Ormandy 找到漏洞,其他
加防毒产品也有相同的命运。像是,他在2015年底就揭露防毒软件AVG在Chrome浏览器外
挂Web TuneUp设计上有漏洞,可能造成数百万用户面临资料外泄或遭骇客远端攻击的风险
。
另外,塔维斯Ormandy 也在去年9月揭露防毒软件卡巴斯基新版本中,出现一个远端攻击
漏洞,而且是完全不需要互动的系统漏洞,藏匿在默认的配置中;去年6月则揭露Eset旗
下所有防毒软件都存在一个允许骇客入侵电脑、读取修改及删除使用者电脑任何档案,并
可使用摄影镜头或麦克风等外接装置,也能监控使用者的键盘纪录或网络流量的漏洞。
不过,塔维斯Ormandy 在漏洞揭露程序上也颇受争议,先前揭露微软漏洞只给5天时间修
补,引发违反安全揭露漏洞程序争议;此次也在趋势科技开始修补漏洞5天后,便揭露相
关程序引发批评。