趨勢PC-cillin密碼管理驚爆漏洞，防毒軟體恐成PC遭駭幫兇，Google專家直批荒謬 http://www.ithome.com.tw/news/103127 Google Project Zero研究員Tavis Ormandy揭露趨勢科技PC-cillin密碼管理通的漏洞。 原本用於保護電腦的防毒軟體，反而可能變成駭客入侵電腦的幫兇。全球宣稱擁有百萬使 用者安裝的防毒軟體PC-cillin功能驚爆大漏洞。日前，一位多次發現防毒軟體漏洞的 Google Project Zero的抓蟲大隊資安研究員Tavis Ormandy 發現 PC-cillin軟件密碼管 理機制（Password Manager）有漏洞，恐導致惡意網頁能夠遠端執行在本機端的任意指令 ，甚至下指令刪除使用者電腦上的硬碟資料或者植入入惡意程式皆可。臺灣趨勢科技產品 經理朱芳薇表示，已經緊急修復問題，並列入強制自動更新項目，使用者只要確認密碼管 理通更新到最新版後就不會受影響。 漏洞恐讓任何| | |網頁遠端執行任何本地端指令，或竊取任何網站密碼 塔維斯Ormandy 表示，趨勢科技這個密碼Manager是利用JavaScript寫成，在本地端執行 時則是使用跨平臺的Node.js執行環境。但他發現，安裝後會在Windows環境上會出現數個 用來處理API呼叫的HTTP遠端程序呼叫（RPC）通訊埠，駭客可以透過這些HTTP遠端呼叫來 執行本地端的ShellExcute函數，任意執行本地端的各種指令。 發現多次防毒軟體漏洞的谷歌工程零的抓蟲的的大隊研究員塔維斯Ormandy 示範只要在網 址輸入特定網址指令，就可以執行本地端任何程式，例如下圖為開啟計算機的示範。 http://goo.gl/eNguwT C：\ / S / Q 管理中的密碼和網址匯出，造成使用者的密碼外洩。 谷歌抓蟲大隊專家直批產品設計荒謬，建議找資安顧問稽核產品 的Tavis奧曼迪質疑，用的的JavaScript開發的密碼Manager是透過瀏覽器來執行，但是趨 勢卻關閉了執行環境的瀏覽器安全沙箱功能，此舉讓人無法理解。他以「荒謬」形容這樣 的設計，他說，從資安稽核的角度來看，Password Manager還有將近70個API可以透過網 際網路存取，姑且不論其安全性，但每個API就是一個讓駭客可以存取系統機密的機會， 資安公司寫的產品功能，不應該出現這樣的情況。他甚至呼籲，趨勢應該趕快尋求資安顧 問來稽核產品的安全性。 而朱芳薇表示，趨勢科技在臺灣時間1月6日凌晨5點多收到Google研究員的通報後，立即 啟動漏洞修補程序，也將修補的程式拿給 Tavis 奧曼迪驗證，並且陸續在1月9日，11日 兩度自動強制更新（ActiveUpdates）PC-cillin產品安全性，預計在1月14日還會第三度 更新產品安全性。 密碼管理通是PC-cillin的擴充工具，可自動記憶不同網站的密碼，也提供單一密碼自動 登入的機制，在趨勢PC-cillin防毒軟體的Maximum安全10（完整版）和高級安全10則是內 建功能。 朱芳薇表示，漏洞僅影響PC-cillin用戶有安裝密碼管理通者，未影響其他趨勢科技產品 ，她說，密碼管理通升級到3.5.0.1298版以上就不受漏洞影響，使用者也應該立即手動更 新，以確保系統安全。 多家防毒產品同樣被谷歌抓蟲大隊找到漏洞 只是不科技趨勢的防毒產品被谷歌抓蟲的大隊資安研究員塔維斯Ormandy 找到漏洞，其他 加防毒產品也有相同的命運。像是，他在2015年底就揭露防毒軟體AVG在Chrome瀏覽器外 掛Web TuneUp設計上有漏洞，可能造成數百萬用戶面臨資料外洩或遭駭客遠端攻擊的風險 。 另外，塔維斯Ormandy 也在去年9月揭露防毒軟體卡巴斯基新版本中，出現一個遠端攻擊 漏洞，而且是完全不需要互動的系統漏洞，藏匿在預設的配置中；去年6月則揭露Eset旗 下所有防毒軟體都存在一個允許駭客入侵電腦、讀取修改及刪除使用者電腦任何檔案，並 可使用攝影鏡頭或麥克風等外接裝置，也能監控使用者的鍵盤紀錄或網路流量的漏洞。 不過，塔維斯Ormandy 在漏洞揭露程序上也頗受爭議，先前揭露微軟漏洞只給5天時間修 補，引發違反安全揭露漏洞程序爭議；此次也在趨勢科技開始修補漏洞5天後，便揭露相 關程序引發批評。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.171.39 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1452741734.A.809.html