Trend Microのパスワード管理ソフト、リモートから任意コード実行可能な脆弱性が再び見つかる

Trend Microのパスワード管理ソフト、リモートから任意コード実行可能な脆弱性が再び見つかる 12

ストーリー by headless 2016年04月03日 15時19分
新規部門より

Trend Microのパスワード管理ソフト「Password Manager」で、リモートから任意のコードを実行可能な脆弱性がGoogle Project ZeroチームのTavis Ormandy氏により発見された。Ormandy氏は1月にもPassword Managerで同様の脆弱性を発見している(Project Zero — Issue 773、 The Registerの記事、 Softpediaの記事)。

今回の脆弱性は、Node.jsで作成されたリモートデバッグスタブがPassword Managerのデフォルトで起動し、localhostをリッスンするというもの。そのため、ポート番号を指定してJavaScriptコードを実行することで、リモートから任意のコマンドを実行できるとのこと。スタブがリッスンするポートは変動するが、ポート番号は簡単なJavaScriptコードで特定可能だ。

Trend Microは3月22日にOrmandy氏から報告を受け、3月30日にパッチをリリースした。このパッチは完全なものではないが、重大な問題については修正済みとのことで、Project Zeroが脆弱性情報を公開している。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索12コメント Log In/Create an Account

うーん (スコア:0)

by Anonymous Coward on 2016年04月03日 21時22分 (#2991348)

全然コメントもつかないようだし、あえてここで聞いてみるんですが、この種のソフトにリモートデバッグ機能って必要なんですかね？
パスワード管理ソフトなんてネットワークに接続できたらそのうち問題起こすのは自明だと思うのですが。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  なんでもかんでもネットワークに繋ぐのが今時でありトレンドなのですよ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「リモートデバッグスタブ」なるものがリリース版モジュールに含まれているのがおかしいように見えますね。
  パスワード管理ソフトであることはこの際関係なくて、常駐?するプログラムが
  任意のコマンドを外部から実行可能であることが問題のようです。
  なんでhttpのapiなんぞ使ってるのかとは思いますが、ブラウザ拡張との連携とかですかね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    最初聞いた時、これに割り振られたエンジニアがNode.jsしか使えないんじゃないかーなんて思っちゃったんだけど。
    さすがにないかな。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    どう考えてもバックドア
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      こんなもん正面玄関やろ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ブラウザの制限などで、WebSocketで本家のアプリと通信するっていうのは他でもやってる。
  Macで有名な1passwordも同様の流れ。
  How secure is the connection between 1Password mini and the browser extension?
  https://support.1password.com/mini-extension-security/ [1password.com]
  読む限り、リクエストについてくるリファラーのようなものにブラウザ拡張のユニークIDがついてるから、それ見て自分のだと確認してる、とさ。
  その他にも、悪意のあるアプリが指定のポートを先に使ってたら、ブラウザ拡張がそのアプリ向けに新しいパスワード送ってくるんじゃね、って問題などあるが、
  そんなアプリに入られてる時点で、通信傍受するよりウェブからパスワードぶんどったほうが速いぜ、なんて
まー、Trend Microだし？ (スコア:0)

by Anonymous Coward on 2016年04月03日 22時05分 (#2991358)

ある程度以上、名の知れたセキュリティソフト会社の中で一番やらかしてるよね
というか定期的にニュースになってるのはここだけな気がする
- Re:まー、Trend Microだし？ (スコア:3)
  
  by Dobon (7495) on 2016年04月03日 23時01分 (#2991377) 日記
  
  ノートンも、やらかしてますよ。
  エンドポイントプロテクションの管理コンソールが伝統的にボロボロ。
  2012 SEP 権限昇格,ファイル削除など3件
  2014 SEP 権限昇格(バッファオーバーフロー)
  2015 SEP 任意Javaコード実行など3件
  2016 SEP 権限昇格,任意コード実行など3件 ← 先月、スラドにも載った奴。
  # そういえば、件名が空のメールを受信すると落ちるというバグがNISにあったな……
  
  --
  notice : I ignore an anonymous contribution.
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    AVGもやらかしてますしね
    脆弱性があっても多様性があればなんとかなる！！
    ・・・わけないわな
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    これに荒らしモデって･･･
    社員じゃあるまいし
- Re:まー、Trend Microだし？ (スコア:2)
  
  by epheal (32955) on 2016年04月05日 10時59分 (#2992186)
  
  いじくるつくーるの件もトレンドマイクロでしたね。
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

うーん (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

まー、Trend Microだし？ (スコア:0)

Re:まー、Trend Microだし？ (スコア:3)

Re: (スコア:0)

Re: (スコア:0)

Re:まー、Trend Microだし？ (スコア:2)