كان تريند مايكرو كلمة السر مدير الثقوب تنفيذ الأوامر عن بعد وملقاة البيانات إلى أي شخص: مشروع صفر

تم العثور على أداة إدارة كلمة المرور المثبتة افتراضيا جنبا إلى جنب مع تريند ميكرو أنتيفيروس عرضة لتنفيذ التعليمات البرمجية عن بعد بفضل عمل فريق الأمن مشروع زيرو جوجل.

اكتشفت من قبل المشروع زيرو في تافيس أورماندي، تم بناء أداة كلمة المرور باستخدام جافا سكريبت و node.js، وبدأت ملقم ويب المحلية التي من شأنها أن تستمع، دون استخدام القائمة البيضاء أو نفس الأصل السياسة، لأوامر أبي.

وقال أورماندي: “استغرق الأمر حوالي 30 ثانية لتحديد موقع واحد يسمح بالتنفيذ التعسفي للقيادة، أوبينوردينفولتبروزر، والذي ينتهي في النهاية إلى شليكسكيوت ().

“حتى أنه من الممكن تجاوز موتو [علامة على شبكة الإنترنت]، وتفرخ الأوامر دون أي مطالبات على الإطلاق.”

ووفقا لباحث الأمن، حتى بعد إصدار تريند مايكرو إصلاح الأولي، والمنتج لا يزال يتعرض ما يقرب من 70 أبي يدعو إلى شبكة الإنترنت.

“لقد لاحظت أن نقطة النهاية / أبي / شسب سوف تفرخ بناء قديم من كروميوم (الإصدار 41) مع -disable- رمل.إضافة إهانة للإصابة، إلحاق ‘(متصفح آمن)’ إلى وسيراجنت.”، وقال أورماندي.

“أرسلت رسالة بريدية تقول” هذا هو الشيء الأكثر سخيفة رأيت من أي وقت مضى “.”

“أنا لا أعرف حتى ماذا أقول – كيف يمكن تمكين هذا الشيء * افتراضيا * على كل ما تبذلونه من آلات العملاء دون الحصول على التدقيق من مستشار أمني مختص؟”

وأشار أورماندي أيضا أن مدير كلمة السر كان قادرا على تفريغ لمهاجم جميع كلمات السر المخزنة داخله.

“يمكن لأي شخص على الإنترنت سرقة جميع كلمات السر الخاصة بك تماما بصمت، وكذلك تنفيذ أوامر تخريبية مع صفر التفاعل المستخدم، وآمل حقا خطورة هذا واضح بالنسبة لك، لأنني مندهش حول هذا”، وقال أورماندي إلى بائع الأمن.

في نهاية المطاف، وأضاف تريند مايكرو الاختيار المنشأ للأوامر والقائمة البيضاء المجال pwm.trendmicro.com، الذي قال أورماندي يجب أن تعمل، شريطة أن المجال لم يكن عرضة لنقاط الضعف البرمجة عبر الموقع.

سقط بائع الأمن أيضا في نفس فخ أن لينوفو مع سوبيرفيش وديل مع إديلروت سقطت في: إضافة شهادة موقعة ذاتيا في مخزن شهادة الجهاز المحلي.

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ ووردبريس يحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة؛ البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية ضابط؛ انتقد البنتاغون لاستجابة الطوارئ في حالات الطوارئ من قبل الوكالة الحكومية الدولية

الأمن؛ إعادة النظر في أساسيات الأمن: كيفية تجاوز فود؛ الابتكار؛ سوق M2M ترتد مرة أخرى في البرازيل؛ الأمن؛ مكتب التحقيقات الفدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ الأمن؛ وورد يحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

وأضاف أورماندي: “تريندميكرو يضيف بشكل مفيد شهادة هتبس موقعة ذاتيا ل لوكالهوست إلى مخزن الثقة، لذلك لا تحتاج إلى النقر من خلال أي أخطاء أمنية”.

بدأت جوجل مشروع صفر في يوليو 2014 مع الهدف المعلن لتحسين الأمن عبر الإنترنت.

إعادة التفكير في أساسيات الأمن: كيفية تجاوز فود

؟ M2M السوق مستبعد مرة أخرى في البرازيل

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

Refluso Acido