Seberapa amankah produk keamanan? AVG pertama, sekarang TrendMicro dengan kelemahan utama

• Kategori: Keamanan

Coba Instrumen Kami Untuk Menghilangkan Masalah

Pilih Sistem Operasi Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pilih Program Proyeksi (Opsional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Jelaskan Masalah Anda

Dapatkan Jawaban

Kirimkan Saya Melalui Email Tunjukkan Di Situs

Peneliti Google Tavis Ormandy menemukan kelemahan utama dalam komponen pengelola kata sandi TrendMicro Antivirus untuk Windows baru-baru ini yang memiliki beberapa masalah keamanan utama yang, antara lain, memungkinkan situs web menjalankan perintah sewenang-wenang, mengekspos semua kata sandi yang disimpan, atau menjalankan 'peramban aman 'itu tidak aman sama sekali.

Tampaknya Google sedang menyelidiki produk keamanan di Windows, dan di sana terutama yang berinteraksi dengan browser web Chrome atau Chromium dengan satu atau lain cara.

Perusahaan mempermalukan AVG secara terbuka pada awal Januari untuk ekstensi TuneUp Web untuk Chrome karena kelemahan keamanan menempatkan 9 juta pengguna Chrome yang menggunakannya dalam risiko.

TuneUp, diinstal dengan perangkat lunak keamanan AVG atau secara terpisah, membahayakan pengguna Chrome dengan menonaktifkan 'keamanan web' untuk pengguna Chrome yang telah menginstal ekstensi.

AVG akhirnya menghasilkan perbaikan (perlu dua upaya untuk itu, yang pertama ditolak karena tidak cukup).

Masalah keamanan TrendMicro Password Manager

Dan sekarang Trend Micro-lah yang dipermalukan secara terbuka oleh Google. Menurut Ormandy, kali ini komponen Password Manager adalah penyebab yang diinstal secara otomatis dengan TrendMicro Antivirus untuk Windows dan berjalan saat start ( dan juga tersedia sebagai program dan aplikasi mandiri).

Produk ini terutama ditulis dalam JavaScript dengan node.js, dan membuka beberapa port HTTP RPC untuk menangani permintaan API.

Butuh waktu sekitar 30 detik untuk menemukan perintah yang mengizinkan eksekusi perintah arbitrer, openUrlInDefaultBrowser, yang akhirnya dipetakan ke ShellExecute ().

Artinya, situs web apa pun dapat meluncurkan perintah arbitrer [..]

Dalam balasan untuk karyawan TrendMicro Ormandy menambahkan informasi berikut ini:

Hei, hanya ingin memeriksa apakah ada pembaruan di sini? Ini dapat dieksploitasi secara sepele dan dapat ditemukan dalam penginstalan default, dan jelas dapat di-worm - menurut pendapat saya, Anda harus memanggil orang-orang untuk memperbaikinya.

FWIW, bahkan mungkin untuk melewati MOTW, dan mengeluarkan perintah tanpa prompt apapun. Cara mudah untuk melakukannya (diuji pada Windows 7), adalah mengunduh otomatis file zip yang berisi file HTA, lalu menjalankannya [..]

Build pertama yang dikirim TrendMicro ke Travis Ormandy untuk verifikasi memperbaiki salah satu masalah utama program (penggunaan ShellExecute), tetapi itu tidak menangani masalah lain yang terlihat selama pemeriksaan kasar kode.

Ormandy mencatat misalnya bahwa salah satu API yang digunakan oleh TrendMicro melahirkan 'sebuah versi kuno' dari Chromium (versi 41 dari peramban yang sekarang tersedia sebagai versi 49) dan bahwa itu akan menonaktifkan kotak pasir peramban di atasnya untuk menawarkan ' mengamankan browser 'untuk penggunanya.

Jawabannya ke TrendMicro terus terang:

Anda baru saja menyembunyikan objek global dan menjalankan shell browser ...? ... dan kemudian menyebutnya 'Browser Aman'?!? Fakta bahwa Anda juga menjalankan versi lama dengan --disable-sandbox hanya menambah penghinaan terhadap cedera.

Saya bahkan tidak tahu harus berkata apa - bagaimana Anda bisa mengaktifkan hal ini * secara default * di semua mesin pelanggan Anda tanpa mendapatkan audit dari konsultan keamanan yang kompeten?

Terakhir, Ormandy menemukan bahwa program tersebut menawarkan 'API bersih yang bagus untuk mengakses kata sandi yang disimpan di pengelola kata sandi', dan bahwa siapa pun dapat membaca semua kata sandi yang disimpan '.

Saat penginstalan, pengguna diminta untuk mengekspor sandi browser mereka, tetapi itu opsional. Saya pikir penyerang dapat memaksanya dengan / exportBrowserPasswords API, jadi itu pun tidak membantu. Saya mengirim email yang menunjukkan ini:

Menurut pendapat saya, Anda harus menonaktifkan sementara fitur ini untuk pengguna dan meminta maaf atas gangguan sementara, kemudian menyewa konsultan eksternal untuk mengaudit kode tersebut. Dalam pengalaman saya berurusan dengan vendor keamanan, pengguna cukup memaafkan kesalahan jika vendor bertindak cepat untuk melindungi mereka setelah mengetahui adanya masalah, menurut saya hal terburuk yang dapat Anda lakukan adalah membiarkan pengguna terbuka saat Anda membersihkannya. Pilihan ada di tangan Anda, tentu saja.

Masalah ini tampaknya belum diperbaiki sepenuhnya pada saat penulisan meskipun ada upaya TrendMicro dan beberapa tambalan yang diproduksi perusahaan dalam beberapa hari terakhir.

Perangkat lunak keamanan secara inheren tidak aman?

Pertanyaan utama yang harus keluar dari ini adalah 'seberapa aman produk keamanan'? Dua masalah utama dalam dua produk oleh pemain utama di bidang antivirus memprihatinkan, terutama karena ada kemungkinan bahwa mereka bukan satu-satunya yang tampaknya tidak mengamankan produk mereka sendiri dengan benar.

Untuk pengguna akhir, hampir tidak mungkin untuk mengatakan bahwa ada sesuatu yang salah yang membuat mereka berada dalam situasi genting. Dapatkah mereka mempercayai solusi keamanan mereka untuk menjaga data mereka tetap aman, atau apakah perangkat lunak yang seharusnya mengamankan komputer mereka yang membuatnya berisiko?