パスワードを忘れた? アカウント作成
12649215 submission
インターネット

Trend Microのパスワード管理ソフトにリモートから任意コード実行可能な脆弱性

タレコミ by headless
headless 曰く、
Trend Microのパスワード管理ソフト「Password Manager」でリモートから任意のコードが実行可能な脆弱性が発見され、発見者のGoogle Security ResearchのTavis Ormandy氏から報告を受けたTrend Microが緊急アップデートを配布したそうだ(Google Security Research — Issue 693Trend Microのブログ記事Softpediaの記事Ars Technicaの記事The Registerの記事)。

Password Managerは主にJavaScriptで書かれており、localhostでnode.js HTTPサーバーを実行する。このコンポーネントは70近いAPIを公開しているが、最初に問題が見つかったのは「openUrlInDefaultBrowser」APIから「ShellExecute()」が実行される点だ。そのため、Webサイト側がこのAPIを呼び出すことで、任意のコード実行が可能となる。さらに、localhost用の自己署名の証明書が信頼済みストアに追加されるため、セキュリティエラーなども発生しないという。

Trend Microは修正済みビルドを作成してOrmandy氏に送ったが、任意コード実行可能なAPIは他にも見つかり、Password Managerが暗号化して保存しているすべてのパスワードをWebサイトが取得し、復号できることも判明した。Webブラウザが保存しているパスワードのPassword Managerへのエクスポートはオプションだが、攻撃者は「exportBrowserPasswords」APIを使用することで、ユーザーが実際にPassword Managerを使用していなくてもパスワードを取得できる可能性がある。

指摘された問題は最終的にすべて修正され、緊急アップデートが自動更新で配布されているが、他にも問題が見つかる可能性もあるという。なお、Password Managerは単体で販売されているほか、米国では「Trend Micro Premium/Maximum Security 10」に同梱されているが、国内版の「ウイルスバスター クラウド 10」には同梱されておらず、別途提供のみとなっているようだ。
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...