[Frissítve] Megdöbbentő hibák a Trend Micro egyes termékeiben

|

Bármely weblap kilophatta a jelszavakat a biztonsági szoftverekből.

Olvasóink néhány hete már találkozhattak Tavis Ormandy nevével, a férfi a Google egyik ismert biztonsági kutatója. Úgy tűnik újabban a biztonsági szoftverekre állt rá, ugyanis az AVG többé-kevésbé opcionális böngésző-eszköztárának sárba tiprása után a Trend Micro Premium Security és Maximum Security biztonsági csomagokról szedte le a keresztvizet.

Hirdetés


A kérdéses szoftverek beépített jelszókezelővel is rendelkeznek, a reklámszöveg szerint a népszerű böngészőkben automatikus űrlapkitöltést is nyújtó modulra nyugodtan rábízhatóak a jelszavak. Ormandy megállapítása alapján ez nem felelt meg a valóságnak, ugyanis bármely a felhasználó által meglátogatott weblap képes volt teljes csendben kilopni a mentett jelszavakat a tárolóból, plusz a termékek távoli kódfuttatásra is lehetőséget adtak.


A Trend Micro mostanra az Ormandy által felfedezett súlyos hibát befoltozta, így a fent említett szoftverek felhasználóinak érdemes manuálisan ellenőrizniük, hogy a legfrissebb verziót használják-e.


Frissítés: a Trend Micro kiadott egy közleményt az ügy kapcsán, alább olvasható a releváns része.

2016. január 11-én kötelező érvényű frissítést bocsátottunk ki a Trend Micro ActiveUpdate szolgáltatásán keresztül, amely kijavítja a sérülékenységet: ezt minden felhasználónak telepítenie kell. Fontos tudni, hogy a Trend Micro Password Manager esetében az  ActiveUpdate frissítéseket nem lehet kikapcsolni, ami azt jelenti, hogy a Trend Micro Password Manager minden jelenlegi felhasználója automatikusan megkapja az ActiveUpdate frissítéseket. A jelentett, kritikus sérülékenység gyakorlatilag a Trend Micro Password Manager régi, ma már nem elérhető verzióját érinti.

Hozzátartozik a történethez, hogy Tavis Ormandy, az ismert és elismert információbiztonsági kutató kapcsolatba lépett velünk, és jelentette a problémát Trend Micro Product Vulnerability Response csapatunknak. A Trend Micro az évek során bejáratott, hatékony folyamatot dolgozott ki a sérülékenységek javítására, és ezt a jelentést is e folyamaton belül kezeltük.

Gyorsan reagáltunk az elsődleges jelentésre, és az egész folyamat során együttműködtünk Tavisszal, hogy megértsük és orvosoljuk a problémát. Felelősségteljes munkájának és együttműködésének köszönhető, hogy a legkritikusabb problémákat kevesebb mint egy hét alatt kezelhettük. Nincs tudomásunk róla, hogy ez idő alatt bárkit a sérülékenységet kihasználó támadás ért volna.


(Forrás: ExtremeTech, TechPowerUp | Nyitókép: Kotis Design)

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.