Tavis Ormandy von Googles Project Zero hat eine kritische Sicherheitslücke im Passwortmanager entdeckt, der zusammen mit Trend Micro AntiVirus installiert wird. Sie erlaubt das Einschleusen und Ausführen von Schadcode. Trotz eines von Trend Micro bereitgestellten Patches stuft Ormandy das Tool weiterhin als unsicher ein.
„Es ist sogar möglich MOTW (Mark of the Web) zu umgehen und Befehle ohne jegliche Kommandozeile aufzurufen“, schreibt Ormandy. Auch nach Installation des von Trend Micro veröffentlichten Fix seien noch fast 70 API-Aufrufe des Passwortmanagers vom Web aus erreichbar.
Ormandy kritisiert zudem, dass ein API-Aufruf eine veraltete Chromium-Version anspricht, und zwar mit deaktivierter Sandbox. Der User Agent des Browsers trage trotzdem den Zusatz „Secure Browser“. „Ich habe ihnen per E-Mail mitgeteilt: ‚Das ist das Lächerlichste, was ich je gesehen habe'“, ergänzte Ormandy. „Ich weiß nicht, was ich sagen soll. Wie kann man dieses Ding ab Werk auf den Rechnern aller Kunden aktivieren, ohne es von einem kompetenten Sicherheitsberater prüfen zu lassen?“
Die Tests des Forschers haben zudem gezeigt, dass der Passwortmanager einem Angreifer unter Umständen alle gespeicherten Passwörter preisgibt. „Jeder im Internet kann vollkommen unbemerkt alle Passwörter stehlen und auch ohne Interaktion mit dem Nutzer beliebigen Code ausführen. Ich hoffe wirklich, dass Ihnen die Auswirkungen klar sind, weil mich das sehr erstaunt“, schrieb Ormandy an Trend Micro.
Eine weitere Schwachstelle ist ein von Trend Micro installiertes selbst signiertes Zertifikat für die HTTP-Verschlüsselung. „Trend Micro fügt ein selbst signiertes HTTPS-Zertifikat für den Localhost zum Trust Store hinzu, damit sie nicht auf irgendwelche Sicherheitswarnungen klicken müssen“, kommentiert Ormandy. Dieser Fehler war zuletzt auch Lenovo und Dell unterlaufen.
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Schon im September 2015 hatte Ormandy Details zu Sicherheitslücken in der Antivirensoftware des russischen Anbieters Kaspersky enthüllt. Betroffen waren damals die Versionen 15 und 16 von Kaspersky Antivirus. Ormandy hatte bei seinen Versuchen gezeigt, dass solche Lücken nicht nur theoretisch, sondern auch in der Praxis ausgenutzt werden können.
[mit Material von Chris Duckett, ZDNet.com]
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…