Исправлена «смешная» уязвимость в Trend Micro

2016-04-04 4432 комментарии
Выпущен патч для ошибки безопасности, обнаруженной в продуктах Trend Micro Password Manager, Maximum Security и Premium Security. Ошибка в программном коде приводила к тому, что удаленный сервер отладки продолжал работать на машинах потребителей

Исправлена «смешная» уязвимость в Trend Micro

Уязвимость была обнаружена исследователем Project Zero Тависом Орманди и позволяла удаленно исполнять произвольный код на уязвимых системах (с запущенными Trend Micro Maximum Security, Trend Micro Premium Security или Trend Micro Password Manager).

Орманди не первый раз обнаруживает проблемы в продуктах Trend Micro, но найденную на этот раз ошибку назвал “смешной.”

Trend Micro выпустил патч безопасности, устраняющий данную уязвимость еще в среду, 23 марта, на следующий день после обнаружения дыры в безопасности. Согласно информации Trend Micro, данный патч не является полным, но устраняет самые критические проблемы.

В заявлении вендор подчеркивает, что данная проблема коснулась только конечных потребителей, корпоративная технология не подвержена данному риску безопасности:

“Trend Micro была своевременно оповещена об обнаруженной авторитетным исследователем Project Zero Тависом Орманди уязвимости. Обнаруженная уязвимость связана с менеджером паролей Trend Micro, который поставляется совместно с Trend Micro Titanium Maximum Security и предназначен для конечных пользователей. Password Manager не поставляется с решениями для малого бизнеса и другими корпоративными продуктами компании.

В рамках нашей стандартной стратегии реагирования на уязвимости был выпущен патч, который устраняет самые критические проблемы и устанавливается автоматически с серверов ActiveUpdate. Большинство пользователей своевременно получат обновление. Важно отметить, что нет никаких официальных доказательств того, что эксплойт мог использоваться для организации атак”.

Орманди длительное время занимается поиском дыр безопасности в популярных антивирусных продуктах. Он уже обнаруживал проблемы в решениях ESET, FireEye, Kaspersky и Avast. Исследователь не был слишком впечатлен качеством выпущенного патча. В своей переписке с компанией он пишет “Я проанализировал патч с BinDiff и идентифицировал некоторые случаи, при которых он может не сработать”.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?