Sikkerhetsselskapet Trend Micro har gitt ut en oppdatering for sine antivirus suite som blant andre ting løser et sikkerhetsproblem som gjorde det mulig for en angriper å kjøre ondsinnet kode på det berørte systemet. Beredskap patchoppdatering kommer en uke etter et Google Prosjekt Null forsker kalt ut Trend Micro, avsløre sårbarhet for publikum. Sårbarheten påvirkes alle Trend Micro antivirus brukere.
Et passord styringsverktøy som ble installert som standard med Trend Micro antivirus suite ble funnet sårbare for ekstern kjøring av kode angrep. Funnet ble gjort av Googles Project Zero security forskere. Tavis Ormandy, en forsker med Prosjektet Null, avslørte detaljer om sårbarheten til det offentlige i forrige uke. Brukere som aldri har benyttet funksjonen ble også berørt.
Bygget på JavaScript og Node.js passord styringsverktøy som er lagt åpne for en rekke havner, å utsette en Trend Micro antivirus brukeren til skadelige JavaScript forespørsel. Videre, Trend Micro også brukt et selvsignert sikkerhetssertifikat i et forsøk på å kompensere HTTPS feil.
I tillegg, sårbarheten også tillatt for en angriper å vise innholdet av et passord manager som er innebygd i den malware protection program. “Jeg vet ikke engang hva jeg skal si – hvordan kan du aktivere denne ting som standard på alle dine kunden maskiner uten å få en revisjon fra en kompetent sikkerhet konsulent?” Ormandy skrev.
“Du må komme opp med en plan for å fikse dette akkurat nå. Ærlig talt, det ser også ut som du er å utsette alle lagrede passord til internett, men la oss bekymre deg for at skruen opp etter at du får ekstern kjøring av kode under kontroll.”
Ormandy hadde rådet Trend Micro for å deaktivere de berørte har rett bort og ansette en ekstern konsulent til å granske kode. Dette ville ha sikret at minst brukerne ikke var sårbar for angrep. Trend Micro, men ikke deaktivere verktøy og utstedt en nødsituasjon fikse.
“I min mening, bør du midlertidig deaktivere denne funksjonen for brukere og be om unnskyldning for midlertidige forstyrrelser, så ansette en ekstern konsulent til å granske kode. I min erfaring med å håndtere sikkerhet leverandører, brukere er ganske tilgivende av feil hvis leverandører handle raskt for å beskytte dem en gang informert av et problem, jeg tror det verste du kan gjøre er å la brukerne utsatt mens du rengjør denne tingen opp. Valget er ditt, selvfølgelig,” sa Ormandy.
Last ned Gadgets 360-app for Android og iOS for å holde deg oppdatert med den nyeste tech nyheter, produkt
anmeldelser og eksklusive tilbud på de populære mobiler.