趋势杀软出漏洞，绑定工具竟成黑客新渠道？

IT之家讯 来自谷歌的安全研究员Tavis 最近很忙。几周之前趋势杀毒软件激活码，他发现了AVG杀软扩展程序可以绕过商店中的审查机制，自动安装到用户的浏览器中，而且这个扩展还会泄露用户隐私。现在这位研究员又发现了趋势科技杀软密码管理器会泄露密码，并且为潜在的恶意代码攻击提供方便。

存在问题的“密码管理器”工具被绑定在了Trend Micro 10杀软中，相关用户很容易受影响。另外这一工具也提供单独下载。这位谷歌研究员认为趋势杀软出漏洞，绑定工具竟成黑客新渠道？，这款工具在安全设计上存在缺失，攻击者可利用如下方式进行远程代码执行攻击：

• 该产品采用结合node.js编写，打开多个HTTP RPC端口来掌控API请求。它将需要大约30秒的时间来允许任意一个命令执行，ser，最终映射到。

• 以下为示例：

x = new

x.open("GET", ":49155/api/ser?url=c:///calc.exe true); try { x.send; } catch (e) {};

在向趋势科技通报这个问题两天后，他再次与该公司联系，称其中存储的所有密码都已经泄露，并且批评该公司缺乏必要的安全管理措施，这种“低级错误”不该犯。这种问题意味着网上的任何人都可以利用这种方式“静、净”地盗取用户的所有密码，用户必须提起注意。

现在趋势科技已经对该问题进行了修复，相关用户应该及时安排软件升级，消灭该漏洞。（：）

微信搜索“IT之家”关注抢6s大礼！下载IT之家客户端（戳这里）也可参与评论抽楼层大奖！