Google Project Zero研究員Tavis Ormandy揭露趨勢科技PC-cillin密碼管理通的漏洞。

原本用於保護電腦的防毒軟體,反而可能變成駭客入侵電腦的幫兇。全球宣稱擁有百萬使用者安裝的防毒軟體PC-cillin功能驚爆大漏洞。日前,一位多次發現防毒軟體漏洞的Google Project Zero的抓蟲大隊資安研究員Tavis Ormandy 發現 PC-cillin軟件密碼管理機制(Password Manager)有漏洞,恐導致惡意網頁能夠遠端執行在本機端的任意指令,甚至下指令刪除使用者電腦上的硬碟資料或者植入入惡意程式皆可。臺灣趨勢科技產品經理朱芳薇表示,已經緊急修復問題,並列入強制自動更新項目,使用者只要確認密碼管理通更新到最新版後就不會受影響。

漏洞恐讓任何網頁遠端執行任何本地端指令,或竊取任何網站密碼

Tavis Ormandy表示,趨勢科技這個Password Manager是利用JavaScript寫成,在本地端執行時則是使用跨平臺的Node.js執行環境。但他發現,安裝後會在Windows環境上會出現數個用來處理API呼叫的HTTP遠端程序呼叫(RPC)通訊埠,駭客可以透過這些HTTP遠端呼叫來執行本地端的ShellExcute函數,任意執行本地端的各種指令。

發現多次防毒軟體漏洞的谷歌工程零時差抓蟲大隊資安研究員Tavis Ormandy 示範只要在網址輸入特定網址指令,就可以執行本地端任何程式,例如下圖為開啟計算機的示範。

他解釋,這意味著,任何網頁可以透過幾行呼叫本地端環境的JavaScript指令,就能在本機端執行任何指令,甚至可以直接執行一個腳本程式、或是直接下RD C:\ /S / Q 等指令,來刪除硬碟系統磁區的檔案。甚至,有一個遠端呼叫API,可以直接將儲存在Password Manager中的密碼和網址匯出,造成使用者的密碼外洩。

谷歌抓蟲大隊專家直批產品設計荒謬,建議找資安顧問稽核產品

Tavis Ormandy質疑,用JavaScript開發的Password Manager是透過瀏覽器來執行,但是趨勢卻關閉了執行環境的瀏覽器安全沙箱功能,此舉讓人無法理解。他以「荒謬」形容這樣的設計,他說,從資安稽核的角度來看,Password Manager還有將近70個API可以透過網際網路存取,姑且不論其安全性,但每個API就是一個讓駭客可以存取系統機密的機會,資安公司寫的產品功能,不應該出現這樣的情況。他甚至呼籲,趨勢應該趕快尋求資安顧問來稽核產品的安全性。

而朱芳薇表示,趨勢科技在臺灣時間1月6日凌晨5點多收到Google研究員的通報後,立即啟動漏洞修補程序,也將修補的程式拿給Tavis 奧曼迪驗證,並且陸續在1月9日,11日兩度自動強制更新(ActiveUpdates)PC-cillin產品安全性,預計在1月14日還會第三度更新產品安全性。

密碼管理通是PC-cillin的擴充工具,可自動記憶不同網站的密碼,也提供單一密碼自動登入的機制,在趨勢PC-cillin防毒軟體的Maximum安全10(完整版)和高級安全10則是內建功能。

朱芳薇表示,漏洞僅影響PC-cillin用戶有安裝密碼管理通者,未影響其他趨勢科技產品,她說,密碼管理通升級到3.5.0.1298版以上就不受漏洞影響,使用者也應該立即手動更新,以確保系統安全。

多家防毒產品同樣被谷歌抓蟲大隊找到漏洞

不只是趨勢科技的防毒產品被Google抓蟲大隊資安研究員Tavis Ormandy找到漏洞,其他家防毒產品也有相同的命運。像是,他在2015年底就揭露防毒軟體AVG在Chrome瀏覽器外掛Web TuneUp設計上有漏洞,可能造成數百萬用戶面臨資料外洩或遭駭客遠端攻擊的風險。

另外,Tavis Ormandy也在去年9月揭露防毒軟體卡巴斯基新版本中,出現一個遠端攻擊漏洞,而且是完全不需要互動的系統漏洞,藏匿在預設的配置中;去年6月則揭露Eset旗下所有防毒軟體都存在一個允許駭客入侵電腦、讀取修改及刪除使用者電腦任何檔案,並可使用攝影鏡頭或麥克風等外接裝置,也能監控使用者的鍵盤紀錄或網路流量的漏洞。

不過,Tavis Ormandy在漏洞揭露程序上也頗受爭議,先前揭露微軟漏洞只給5天時間修補,引發違反安全揭露漏洞程序爭議;此次也在趨勢科技開始修補漏洞5天後,便揭露相關程序引發批評。


Advertisement

更多 iThome相關內容