パスワードを忘れた? アカウント作成
12740203 story
バグ

Trend Microのパスワード管理ソフト、リモートから任意コード実行可能な脆弱性が再び見つかる 12

ストーリー by headless
新規 部門より
Trend Microのパスワード管理ソフト「Password Manager」で、リモートから任意のコードを実行可能な脆弱性がGoogle Project ZeroチームのTavis Ormandy氏により発見された。Ormandy氏は1月にもPassword Managerで同様の脆弱性を発見している(Project Zero — Issue 773The Registerの記事Softpediaの記事)。

今回の脆弱性は、Node.jsで作成されたリモートデバッグスタブがPassword Managerのデフォルトで起動し、localhostをリッスンするというもの。そのため、ポート番号を指定してJavaScriptコードを実行することで、リモートから任意のコマンドを実行できるとのこと。スタブがリッスンするポートは変動するが、ポート番号は簡単なJavaScriptコードで特定可能だ。

Trend Microは3月22日にOrmandy氏から報告を受け、3月30日にパッチをリリースした。このパッチは完全なものではないが、重大な問題については修正済みとのことで、Project Zeroが脆弱性情報を公開している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年04月03日 21時22分 (#2991348)

    全然コメントもつかないようだし、あえてここで聞いてみるんですが、この種のソフトにリモートデバッグ機能って必要なんですかね?
    パスワード管理ソフトなんてネットワークに接続できたらそのうち問題起こすのは自明だと思うのですが。

    • by Anonymous Coward

      なんでもかんでもネットワークに繋ぐのが今時でありトレンドなのですよ。

    • by Anonymous Coward

      「リモートデバッグスタブ」なるものがリリース版モジュールに含まれているのがおかしいように見えますね。

      パスワード管理ソフトであることはこの際関係なくて、常駐?するプログラムが
      任意のコマンドを外部から実行可能であることが問題のようです。

      なんでhttpのapiなんぞ使ってるのかとは思いますが、ブラウザ拡張との連携とかですかね。

      • by Anonymous Coward

        最初聞いた時、これに割り振られたエンジニアがNode.jsしか使えないんじゃないかーなんて思っちゃったんだけど。
        さすがにないかな。

      • by Anonymous Coward

        どう考えてもバックドア

        • by Anonymous Coward

          こんなもん正面玄関やろ

    • by Anonymous Coward

      ブラウザの制限などで、WebSocketで本家のアプリと通信するっていうのは他でもやってる。
      Macで有名な1passwordも同様の流れ。

      How secure is the connection between 1Password mini and the browser extension?
      https://support.1password.com/mini-extension-security/ [1password.com]

      読む限り、リクエストについてくるリファラーのようなものにブラウザ拡張のユニークIDがついてるから、それ見て自分のだと確認してる、とさ。

      その他にも、悪意のあるアプリが指定のポートを先に使ってたら、ブラウザ拡張がそのアプリ向けに新しいパスワード送ってくるんじゃね、って問題などあるが、
      そんなアプリに入られてる時点で、通信傍受するよりウェブからパスワードぶんどったほうが速いぜ、なんて

  • by Anonymous Coward on 2016年04月03日 22時05分 (#2991358)

    ある程度以上、名の知れたセキュリティソフト会社の中で一番やらかしてるよね
    というか定期的にニュースになってるのはここだけな気がする

    • ノートンも、やらかしてますよ。
      エンドポイントプロテクションの管理コンソールが伝統的にボロボロ。

      2012 SEP 権限昇格,ファイル削除など3件
      2014 SEP 権限昇格(バッファオーバーフロー)
      2015 SEP 任意Javaコード実行など3件
      2016 SEP 権限昇格,任意コード実行など3件 ← 先月、スラドにも載った奴。

      # そういえば、件名が空のメールを受信すると落ちるというバグがNISにあったな……

      --
      notice : I ignore an anonymous contribution.
      親コメント
      • by Anonymous Coward

        AVGもやらかしてますしね
        脆弱性があっても多様性があればなんとかなる!!

        ・・・わけないわな

      • by Anonymous Coward

        これに荒らしモデって・・・
        社員じゃあるまいし

    • by epheal (32955) on 2016年04月05日 10時59分 (#2992186)

      いじくるつくーるの件もトレンドマイクロでしたね。

      親コメント
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...