26.7 C
София

Trend Micro запуши сериозна дупка в мениджъра си за пароли

Най-четени

Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.


Тавис Орманди от Google Project Zero продължава своеобразния си кръстоносен поход към антивирусните програми. След „Касперски“, ESET, AVG и AVAST!, сега изглежда е наред Trend Micro, компания доставяща защитни софтуерни и хардуерни решения, услуги и анализ в областта на информационната сигурност на корпоративни и индивидуални потребители.

Става дума за мениджър на пароли на компанията. Въпросният мениджър, написан на JavaScript, посредством node.js се инсталира, след което и стартира автоматично, отваряйки множество HTTP RPC портове за обработка на апликационно-приложния интерфейс на приложението. „Отне ми около 30 секунди, за да забележа, че един от тях позволява отдалеченото изпълнение на случаен код„, пише Орманди, обяснявайки, че реално всеки сайт може да изпълни случаен код към приложението, вследствие, на което паролите да бъдат откраднати, а след това и декриптирани с помощта на слабост в програмата. Ровейки се повече, Орманди открива и други проблеми, свързани с приложението и доказва твърдението си посредством снимки от десктопа си, примери за експлоатиране на проблема, както и публикуване на експлойт код. Поради сериозността на проблема и фактът, че в продължение на обмена на комуникация, компанията не се справя със запушването на уязвимия мениджър на пароли, Орманди предлага на Trend Micro да деактивират временно тази характеристика и просто да се извинят на потребителите на програмата.

„Така че това означава, че всеки в Интернет може да открадне всичките ви пароли тихомълком, а така също и да изпълни случаен код без потребителя да разбере за това и без да прави, каквото и да е. Наистина се надявам, че осъзнавате сериозността на проблема, тъй като съм удивен от наличието му“, пише в кореспонденцията си с Trend Micro Орманди. След продължителен диалог и оказана помощ от страна на Орманди, Trend Micro успешно се справя с проблема и вече е достъпен пач, който, ако използвате мениджъра на пароли е добре да наложите, инсталирайки си последната версия на програмата.

Защитният софтуер, подобно и на крепостните стени в Средновековието или банковите сейфове са имали и ще имат слабости, които ще продължат да бъдат откривани и изправяни (и разбира се, понякога експлоатирани). Откритието на Орманди не би трябвало да ви кара да не използвате този тип софтуер, така, както през Средновековието градовете са оцелявали, именно благодарение на своите стени, а парите ви са значително по-защитени в сейф, отколкото в чекмедже без ключалка или под юргана. Всяка година, различни компании ни уверяват, че именно следващата година ще е годината, която ще започнем да използваме някакъв нов начин за авторизиране в многото си регистрации в Интернет и паролите ще умрат. Е, настоящата година няма отново да видим това нещо. С регистрации в над пет-шест сайтове, човек трудно може да помни дълги и сложни пароли, а специалистите ни съветват да използваме именно такива. Използването на една парола за много или за всичките ви регистрации ви излага на риск при евентуално компрометиране на паролата ви, да изгубите достъп до всичките си акаунти наведнъж, и именно мениджърите на паролите са едно добро решение. Има достатъчно избор от доказали се с времето подобни програми и ако не използвате такава, може би е време да започнете.

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари

Нови ревюта

HUAWEI MatePad 11 – таблет без конкуренция в своя клас

Таблетите са един от любимите ни продукти за тестване, но отдавна подобно устройство не бе стигало до редакцията ни. Пазарът на този вид технологии...

Подобни новини