像趋势科技这样面向用户的安全解决方案实际上旨在为用户在网络活动期间提供额外的安全性。例如,对于像趋势科技这样的公司来说,如果他们的安全解决方案存在重大弱点,并且除了能够远程执行代码之外,还可以提供来自集成密码管理器的密码,那将是愚蠢的。当安全研究人员只用了 30 秒就发现了众多远程代码执行漏洞中的第一个漏洞时,整个事情就显得尤为明显。问题显然是趋势科技产品中集成的密码管理器。
即使用户未激活密码管理器,它也可以充当攻击者的网关。使用此功能可以让潜在的攻击者相当直接地查看您存储的密码,即使它们是经过哈希处理的。关联域以纯文本形式提供。对于攻击者来说,它基本上是一个银盘,上面展示了一切。
谷歌零项目团队的研究员塔维斯·奥曼迪(Tavis Ormandy)发现了这种草率的现象。很难说有一款产品即使在快速修复后仍然具有超过 70 个攻击点。奥曼迪试图解释这一差距的严重性,并呼吁趋势科技立即为用户禁用该功能,不要让他们面临任何进一步的风险。
[color-box color=”gray”rounded=”1″]这意味着互联网上的任何人都可以完全悄悄地窃取您的密码并执行任意代码,而无需任何用户交互。我对此感到惊讶,我希望你们都能理解这件事的严重性。
在我看来,您应该暂时为您的用户禁用此功能,为暂时的中断道歉,然后聘请外部顾问来审核您的代码。根据我与安全供应商合作的经验,如果供应商在收到问题通知后立即采取行动保护用户,那么用户对错误是相当宽容的。我认为您最不想做的事情就是在解决问题时让您的用户面临风险。选择权在你。当然。 [/彩盒]
这一声明与趋势科技自己的声明(所有差距已被弥合)有些矛盾。 相关声明可以在该公司的博客上阅读。
[color-box color=”gray”rounded=”1″]最重要的是要知道,公开报告中的关键漏洞已为所有趋势科技密码管理器客户修复。 2016 年 1 月 11 日,我们发布了强制更新,通过趋势科技的 ActiveUpdate 技术修复这些问题。所有客户应立即获取此更新。请注意,无法为趋势科技密码管理器关闭 ActiveUpdate。这意味着所有当前趋势科技密码管理器客户都将获得通过 ActiveUpdate 提供的所有更新。出于所有意图和目的,所报告的严重漏洞影响旧版且不再可用的趋势科技密码管理器版本。 [/彩盒]
不过,趋势科技并不是第一家被奥曼迪曝光的AV厂商。其他领先的竞争者过去也曾大受欢迎,包括 Sophos、卡巴斯基、AVG 和 FireEye。当然,这并不能弥补趋势科技安全解决方案中的缺陷,但它确实表明安全解决方案并不总是只提供安全性。这里特别有问题的是,不使用密码管理器并不能保护您免受密码管理器引入的漏洞的影响。
一般来说,您不知道您的产品是否仍面临风险。这个缺口 是在1月5日发现的,所以如果真的出现这么大的数字,这个缺口不太可能被完全填补。但我们可以假设奥曼迪并不陌生。这可能会非常令人不愉快,尤其是如果问题没有得到迅速且令人满意的解决的话。
