パスワードを忘れた? アカウント作成
12651192 story
インターネット

Trend Microのパスワード管理ソフトにリモートから任意コード実行可能な脆弱性 42

ストーリー by hylom
セキュリティソフトのセキュリティ問題が頻発 部門より
headless 曰く、

Trend Microのパスワード管理ソフト「Password Manager」でリモートから任意のコードが実行可能な脆弱性が発見され、発見者のGoogle Security ResearchのTavis Ormandy氏から報告を受けたTrend Microが緊急アップデートを配布したそうだ(Google Security Research — Issue 693Trend MicroのブログSoftpediaArs TechnicaRegister)。

Password Managerは主にJavaScriptで書かれており、localhostでNode.jsを使ってHTTPサーバーを実行する。このコンポーネントは70近いAPIを公開しているが、最初に問題が見つかったのは「openUrlInDefaultBrowser」APIから「ShellExecute」が実行される点だ。そのため、Webサイト側がこのAPIを呼び出すことで、任意のコード実行が可能となる。さらに、localhost用の自己署名の証明書が信頼済みストアに追加されるため、セキュリティエラーなども発生しないという。

Trend Microは修正済みビルドを作成してOrmandy氏に送ったが、任意コード実行可能なAPIは他にも見つかり、Password Managerが暗号化して保存しているすべてのパスワードをWebサイトが取得し、復号できることも判明した。Webブラウザが保存しているパスワードのPassword Managerへのエクスポートはオプションだが、攻撃者は「exportBrowserPasswords」APIを使用することで、ユーザーが実際にPassword Managerを使用していなくてもパスワードを取得できる可能性がある。

指摘された問題は最終的にすべて修正され、緊急アップデートが自動更新で配布されているが、他にも問題が見つかる可能性もあるという。なお、Password Managerは単体で販売されているほか、米国では「Trend Micro Premium/Maximum Security 10」に同梱されているが、国内版の「ウイルスバスター クラウド 10」には同梱されておらず、別途提供のみとなっているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年01月14日 19時40分 (#2949345)

    いいね!

  • by Anonymous Coward on 2016年01月14日 20時34分 (#2949375)

    つーか、他人にパスワード管理させる人の気が知れんでおじゃる。

    • by Anonymous Coward

      紙にでもメモってるんですか?

      • by Anonymous Coward on 2016年01月14日 23時41分 (#2949462)

        紙にメモして、その紙を厳重に管理する、という方法は有りですよ。

        http://itpro.nikkeibp.co.jp/atcl/column/15/081900194/081900003/ [nikkeibp.co.jp]
        http://www.motex.co.jp/nomore/column/1036/ [motex.co.jp]

        親コメント
      • by Anonymous Coward

        か、紙にメモしてても、そのメモを鍵付き容器(物理)に保存すれば大丈夫だよ!!
        たぶん…。

        • by Anonymous Coward

          ネット越しに漏洩する可能性が極端に低いという意味では、パスワードマネージャより遥かに安全だよね。
          一人暮らしの自室だったら部屋自体が鍵付き容器(物理)だし、PCのカメラにさえ注意すれば良い。

          # 彼女を部屋に招く?ねぇよ、そんなの……。

        • by Anonymous Coward

          そこまでやらんでも、財布に保管しとけば現金やカード類と同レベルのセキュリティは確保できるぞ。
          溜まってるレシートと一緒に捨ててしまわないように注意しろ。

          • by Anonymous Coward

            あちこちのパスワードがあるわけだから
            財布(財布にかぎらず全部だが)なくしたら、どこリセットすればいいか思い出せない。

      • by Anonymous Coward

        いや、覚えてるが

        • by Anonymous Coward

          なるほど使いまわしですか

          • by Anonymous Coward

            そう言われれば、もう他人の電話番号なんて到底憶えきれなくなったなあ。
            管理ツール使いだしたら同じ思いをするんだろうな。

          • by Anonymous Coward

            使い回しはやめよう!と思って、既存のサービスをランダムな文字列のパスワードにちまちま変えてって、googleドキュメントに全部メモるようにしてるんだけど
            アイフォンはアプリを買う時とか頻繁にパスワードを聞いてくるから昔から使ってた使い回しパスワードにしちゃってるな

        • by Anonymous Coward

          200くらいあるパスワードとか10年前のパスワードとか覚えきれないだろ?
          絶対に忘れてると思う。

          • by adeu (2937) on 2016年01月15日 13時38分 (#2949744)
            KeePass使ってる。
            300個位あるし、個別にランダム生成してるし、サイトに合わせて文字種や長さも変えてる。
            そうするとたとえ一つでも覚えられない。

            エントリーを作成するたびにパスワード要件をメモ書きしてるけど、日本のサイト・サービスに多いのが英数字10-15文字までのように難易度が低いところ。
            そういうところは自然に足が遠のきます
            親コメント
      • by Anonymous Coward

        紙にメモしている。いわゆるシーザー暗号化した文字列を。
        復号規則だけ頭の中に。で、それらを四半期ごとに変更する。
        もっとスマートな方法はないものかと思うが、皆さん実際どうしているの?
        パスワード管理ソフトはいまひとつ肌に合わない。

      • by Anonymous Coward

        紙に書いてるけど?高々10個くらいだし

  • by Anonymous Coward on 2016年01月15日 0時56分 (#2949483)

    ちょっと言ってみたかっただけ。

  • by Anonymous Coward on 2016年01月15日 2時35分 (#2949496)

    FirefoxにSHA1後退を余儀なくさせたというセキュリティ企業、まさかTrendMicroじゃないでしょうね?気軽に証明書をいじりすぎじゃないですか?証明書ストアクリーナーとかロッカーとか、本当に必要になってきている気がする。

    • by Anonymous Coward

      証明書が絡まなくても、社内検証した結果、脆弱性が有るから配信サーバー等を新バージョンに更新するなよ?と回覧がしょっちゅう流れてくる会社の中にいると、ああ、またかぁレベルですな。
      # しかも直るのが2回ぐらい修正パッチが出た後で結構遅い。

      Windows DefenderとかMSEとかそういう点ではまだまだ狙われ足りないのか、機能が少ないからかコイツらに脆弱性がってケースが少ないし、トレンドマイクロもそのレベルを目指してほしい。
      少なくともそこそこデカいけど非セキュリティ業界の企業の社員が見つかられる程度の脆弱性を作りこむのはマジ止めてほしい。

  • by Anonymous Coward on 2016年01月15日 2時59分 (#2949499)

    >最初に問題が見つかったのは「openUrlInDefaultBrowser」APIから「ShellExecute」が実行される点だ。

    信頼できない文字列を指定してShellExecuteを呼んじゃいけないなんて、セキュリティの基本の基本じゃないですかやだー。
    セキュリティ企業でやっちゃだめでしょ。

    • by Anonymous Coward

      きっと社内でコードレビューとかやってないんでしょうね。

  • by Anonymous Coward on 2016年01月15日 3時13分 (#2949501)

    セキュリティの不祥事何度目だ?

  • まだまだ勉強中の俺からしてみれば、node.jsを製品に同梱するという発想が出てこない。
    そのnode.jsはどうなってるんだろう?
    環境変数とかいじらなくて大丈夫なんだろうか?
    こいつをインストールすると、俺氏が開発で使ってるnode.jsの都合と色々バッティングしてしまい涙目、なんて事にはならないんだろうか?

    任意のバージョンのnode.jsを気楽に切り替えて使える、という事は知ってたけど(これはnodistのおかげ?)
    同一のマシン上で、複数のnode.jsを同時に動かせられるのn?

    • by Anonymous Coward

      node.jsの前に、OSとかシェルとかプロセスの勉強をしたほうが良いのでは?

    • by Anonymous Coward

      浅学の前置きしつつトンチンカンないちゃもん付けるのは
      見てて痛々しいからやめろ

      • by Anonymous Coward

        どう見てもイチャモンには見えないんだよなあ・・

    • by Anonymous Coward

      Electronベース(Node.js内蔵)のエディタを起動した状態でもNode.jsアプリの開発はできるのでこれも同様でしょう。

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...