趨勢PC-cillin密碼管理驚爆漏洞，防毒軟體恐成PC遭駭幫兇，Google專家直批荒謬

原本用於保護電腦的防毒軟體，反而可能變成駭客入侵電腦的幫兇。全球宣稱擁有百萬使用者安裝的防毒軟體PC-cillin功能驚爆大漏洞。日前，一位多次發現防毒軟體漏洞的Google Project Zero的抓蟲大隊資安研究員Tavis Ormandy 發現 PC-cillin軟件密碼管理機制（Password Manager）有漏洞，恐導致惡意網頁能夠遠端執行在本機端的任意指令，甚至下指令刪除使用者電腦上的硬碟資料或者植入入惡意程式皆可。臺灣趨勢科技產品經理朱芳薇表示，已經緊急修復問題，並列入強制自動更新項目，使用者只要確認密碼管理通更新到最新版後就不會受影響。

漏洞恐讓任何網頁遠端執行任何本地端指令，或竊取任何網站密碼

Tavis Ormandy表示，趨勢科技這個Password Manager是利用JavaScript寫成，在本地端執行時則是使用跨平臺的Node.js執行環境。但他發現，安裝後會在Windows環境上會出現數個用來處理API呼叫的HTTP遠端程序呼叫（RPC）通訊埠，駭客可以透過這些HTTP遠端呼叫來執行本地端的ShellExcute函數，任意執行本地端的各種指令。

發現多次防毒軟體漏洞的谷歌工程零時差抓蟲大隊資安研究員Tavis Ormandy 示範只要在網址輸入特定網址指令，就可以執行本地端任何程式，例如下圖為開啟計算機的示範。

他解釋，這意味著，任何網頁可以透過幾行呼叫本地端環境的JavaScript指令，就能在本機端執行任何指令，甚至可以直接執行一個腳本程式、或是直接下RD C:\ /S / Q 等指令，來刪除硬碟系統磁區的檔案。甚至，有一個遠端呼叫API，可以直接將儲存在Password Manager中的密碼和網址匯出，造成使用者的密碼外洩。

谷歌抓蟲大隊專家直批產品設計荒謬，建議找資安顧問稽核產品

Tavis Ormandy質疑，用JavaScript開發的Password Manager是透過瀏覽器來執行，但是趨勢卻關閉了執行環境的瀏覽器安全沙箱功能，此舉讓人無法理解。他以「荒謬」形容這樣的設計，他說，從資安稽核的角度來看，Password Manager還有將近70個API可以透過網際網路存取，姑且不論其安全性，但每個API就是一個讓駭客可以存取系統機密的機會，資安公司寫的產品功能，不應該出現這樣的情況。他甚至呼籲，趨勢應該趕快尋求資安顧問來稽核產品的安全性。

而朱芳薇表示，趨勢科技在臺灣時間1月6日凌晨5點多收到Google研究員的通報後，立即啟動漏洞修補程序，也將修補的程式拿給Tavis 奧曼迪驗證，並且陸續在1月9日，11日兩度自動強制更新（ActiveUpdates）PC-cillin產品安全性，預計在1月14日還會第三度更新產品安全性。

密碼管理通是PC-cillin的擴充工具，可自動記憶不同網站的密碼，也提供單一密碼自動登入的機制，在趨勢PC-cillin防毒軟體的Maximum安全10（完整版）和高級安全10則是內建功能。

朱芳薇表示，漏洞僅影響PC-cillin用戶有安裝密碼管理通者，未影響其他趨勢科技產品，她說，密碼管理通升級到3.5.0.1298版以上就不受漏洞影響，使用者也應該立即手動更新，以確保系統安全。

多家防毒產品同樣被谷歌抓蟲大隊找到漏洞

不只是趨勢科技的防毒產品被Google抓蟲大隊資安研究員Tavis Ormandy找到漏洞，其他家防毒產品也有相同的命運。像是，他在2015年底就揭露防毒軟體AVG在Chrome瀏覽器外掛Web TuneUp設計上有漏洞，可能造成數百萬用戶面臨資料外洩或遭駭客遠端攻擊的風險。

另外，Tavis Ormandy也在去年9月揭露防毒軟體卡巴斯基新版本中，出現一個遠端攻擊漏洞，而且是完全不需要互動的系統漏洞，藏匿在預設的配置中；去年6月則揭露Eset旗下所有防毒軟體都存在一個允許駭客入侵電腦、讀取修改及刪除使用者電腦任何檔案，並可使用攝影鏡頭或麥克風等外接裝置，也能監控使用者的鍵盤紀錄或網路流量的漏洞。

不過，Tavis Ormandy在漏洞揭露程序上也頗受爭議，先前揭露微軟漏洞只給5天時間修補，引發違反安全揭露漏洞程序爭議；此次也在趨勢科技開始修補漏洞5天後，便揭露相關程序引發批評。