趋势杀毒曝远程执行漏洞 可盗取用户所有密码

简介:

谷歌著名安全研究员提供进一步证据证明 杀毒软件有时也是黑客入侵的渠道。

image

塔维斯·奥曼迪(Tavis Ormandy),谷歌信息安全工程师,发现 趋势科技杀毒产品中存在漏洞,可致任意网站执行远程代码盗取用户的所有密码。趋势科技表示,已修复该漏洞及另一个远程执行漏洞。

本周一趋势科技针对此漏洞回应,“根据我们的标准漏洞响应流程,与奥曼迪协作,确认并解决了这个漏洞。客户目前可通过自动更新修复此问题。”

但奥曼迪公开了他与趋势官方的来往邮件,隐晦地表达出他对该公司行动缓慢的不满。

“这意味着网络上的任何人都能完全静默地偷走你的所有密码,还能在无需用户互动的情况下执行任意代码。我真心希望你们能清楚问题的严重性,因为我自己是深深被这个吓到了。”

趋势的杀毒产品有个密码管理器,用户可以选择将密码导出到这里面。该管理器是用JavaScript写的,开启了多个HTTP远程过程调用端口来处理API请求。奥曼迪在其中轻易地找到了一个可以接受远程代码的端口,允许访问存放在该管理器中的密码的API也被他找到一个。

奥曼迪总共找到了 70多个暴露在互联网上的API。他还没对所有找到的API进行安全问题调查,但他建议趋势科技聘用外部顾问来审计这些代码。

杀毒软件通常以高权限运行于操作系统之上,意味着其中的漏洞若被利用,黑客将几乎能对计算机为所欲为。卡巴斯基、ESET、Avast、AVG、英特尔安全(前迈克菲)和Malwarebytes,过去7个月里,众多杀毒软件厂商的产品中检出了数十个严重漏洞。

本文转自d1net(转载)

相关文章
|
4月前
|
机器学习/深度学习 数据采集 分布式计算
阿里云PAI AutoML实战:20分钟构建高精度电商销量预测模型
本文介绍了如何利用阿里云 PAI AutoML 平台,在20分钟内构建高精度的电商销量预测模型。内容涵盖项目背景、数据准备与预处理、模型训练与优化、部署应用及常见问题解决方案,助力企业实现数据驱动的精细化运营,提升市场竞争力。
716 0
|
11月前
|
人工智能 前端开发 计算机视觉
Inpaint-Web:纯浏览器端实现的开源图像处理工具
在刷短视频时,常看到情侣在景区拍照被路人“抢镜”,男朋友用手机将路人“P”掉,既贴心又有趣。最近我发现了一个纯前端实现的开源项目——inpaint-web,可在浏览器端删除照片中的部分内容,非常酷。该项目基于 WebGPU 和 WASM 技术,支持图像修复与放大,已在 GitHub 上获得 5.1k Star。项目地址:[GitHub](https://github.com/lxfater/inpaint-web)。
584 3
 Inpaint-Web:纯浏览器端实现的开源图像处理工具
|
算法 数据处理 异构计算
CatBoost高级教程:分布式训练与大规模数据处理
CatBoost高级教程:分布式训练与大规模数据处理【2月更文挑战第15天】
1045 14
|
编解码 开发者 UED
Qt布局实战:实现高效、美观的GUI应用程序
Qt布局实战:实现高效、美观的GUI应用程序
1977 2
|
Cloud Native 5G 测试技术
基于 Magma 构建灵活、低成本无线接入网(上)
基于 Magma 构建灵活、低成本无线接入网
306 0
|
存储 关系型数据库 MySQL
分库分表:存量1亿,日增量500万如何分库分表?
分库分表:存量1亿,日增量500万如何分库分表?
|
存储 编解码 JSON
第 7 章 Google Protobuf
第 7 章 Google Protobuf
175 0
|
JavaScript 安全 API
趋势杀毒曝远程执行漏洞 可盗取用户所有密码
本文讲的是趋势杀毒曝远程执行漏洞 可盗取用户所有密码,谷歌著名安全研究员提供进一步证据证明杀毒软件有时也是黑客入侵的渠道。
1189 0
|
5天前
|
存储 弹性计算 人工智能
【2025云栖精华内容】 打造持续领先,全球覆盖的澎湃算力底座——通用计算产品发布与行业实践专场回顾
2025年9月24日,阿里云弹性计算团队多位产品、技术专家及服务器团队技术专家共同在【2025云栖大会】现场带来了《通用计算产品发布与行业实践》的专场论坛,本论坛聚焦弹性计算多款通用算力产品发布。同时,ECS云服务器安全能力、资源售卖模式、计算AI助手等用户体验关键环节也宣布升级,让用云更简单、更智能。海尔三翼鸟云服务负责人刘建锋先生作为特邀嘉宾,莅临现场分享了关于阿里云ECS g9i推动AIoT平台的场景落地实践。
【2025云栖精华内容】 打造持续领先,全球覆盖的澎湃算力底座——通用计算产品发布与行业实践专场回顾