Уязвимость была обнаружена исследователем Project Zero Тависом Орманди и позволяла удаленно исполнять произвольный код на уязвимых системах (с запущенными Trend Micro Maximum Security, Trend Micro Premium Security или Trend Micro Password Manager).
Орманди не первый раз обнаруживает проблемы в продуктах Trend Micro, но найденную на этот раз ошибку назвал “смешной.”
TrendMicro accidentally left a remote debugging server running on all customer machines &襧\_(ツ)_/&襧 #oops https://t.co/bPLFOrTLBl
— Tavis Ormandy (@taviso) 30 марта 2016 г.
Trend Micro выпустил патч безопасности, устраняющий данную уязвимость еще в среду, 23 марта, на следующий день после обнаружения дыры в безопасности. Согласно информации Trend Micro, данный патч не является полным, но устраняет самые критические проблемы.
В заявлении вендор подчеркивает, что данная проблема коснулась только конечных потребителей, корпоративная технология не подвержена данному риску безопасности:
“Trend Micro была своевременно оповещена об обнаруженной авторитетным исследователем Project Zero Тависом Орманди уязвимости. Обнаруженная уязвимость связана с менеджером паролей Trend Micro, который поставляется совместно с Trend Micro Titanium Maximum Security и предназначен для конечных пользователей. Password Manager не поставляется с решениями для малого бизнеса и другими корпоративными продуктами компании.
В рамках нашей стандартной стратегии реагирования на уязвимости был выпущен патч, который устраняет самые критические проблемы и устанавливается автоматически с серверов ActiveUpdate. Большинство пользователей своевременно получат обновление. Важно отметить, что нет никаких официальных доказательств того, что эксплойт мог использоваться для организации атак”.
Орманди длительное время занимается поиском дыр безопасности в популярных антивирусных продуктах. Он уже обнаруживал проблемы в решениях ESET, FireEye, Kaspersky и Avast. Исследователь не был слишком впечатлен качеством выпущенного патча. В своей переписке с компанией он пишет “Я проанализировал патч с BinDiff и идентифицировал некоторые случаи, при которых он может не сработать”.
Угрозы безопасности
• Ошибка ASUS Armoury Crate позволяет злоумышленникам получить права администратора Windows
• Google настоятельно рекомендует отказаться от паролей
• Trend Micro устранила критические уязвимости в Apex Central и Endpoint Encryption
• Mozilla запускает новую систему для обнаружения расширений в Firefox, ворующих криптовалюту
• Qualcomm устранила три эксплуатируемые уязвимости нулевого дня в Adreno GPU
• Утечка данных: в сеть слиты данные 184 миллионов аккаунтов, включая пароли от Google, PayPal и Netflix