十大宽带故事2015年
补贴卫星宽带以填充BDUK连接差距
法律专家说,欧盟数据保护规则会影响每个人
PAC说,GP提取服务“另一个Whitehall失败”
UKTECH50 2015 - 英国最有影响力的人
满足Stemettes活动的目标是让女孩进入茎
2015年前10台PC和桌面故事
UKTECH50 2015 - 计算机每周五个崛起的星星
Devops成功需要商业和文化转变
物联网成功的五项重点策略
gov.uk通知平台开始发送文本和电子邮件
公司可以监控员工的在线聊天,欧盟法院规则
基于智能手机的英国银行获得额外的4800万英镑的支持
Trendmicro发布紧急修复
CIO采访:Sam Lowe,MatchesFashion.com
儿童的行动使用Mendix来电源效率驱动器
AWS借鉴了赢得企业的启动诉求
AirWave使U-TONG达到紧急网络禁令
Atos在欧洲的ICTroMentre翻新项目推动
英联邦银行澳大利亚合作伙伴新南威尔士网络安全
虚拟仪器在2016年启动硬件NAS探测器
2015年十大CIO访谈
CIO采访:Paul Haley,Cio,城市大学伦敦
英国警方对网络犯罪服务现场进行两次逮捕
2015年,Synergy Research Group表示,2015年是云采用的突破性一年
Veracode查找大多数Web应用程序失败OWASP安全检查列表
Volta Data Centers为客户亮起电源故障偿还方案
TCS为1000英国毕业生提供实习
移动频谱共享飞行员在法国开始
随着BT交易结束,康沃尔议会将270名工作人员送回内部
John Manzoni说,缺乏技能使政府基础设施项目更加复杂
个性化可以帮助客户原谅不良品牌体验
Gmb Union从英国航空公司提供良好的回应IT外包问题
澳大利亚首相Malcolm Turnbull呼叫免费,开放和安全的互联网
王子的信任使用Oracle进行数字转型
Gartner:它在2016年的成长只增长0.6%
CIO采访:孤独的Bundgaard,cloplast
网络攻击下的澳大利亚企业律师,但没有计划增加安全支出
Kaminario客户说,混合动力闪光不够好,说
JISC在英格兰北部的第二次共享服务数据中心招标
CTO说,RSA旨在通过创新的可用性
移动广告网络比利移动在Hadoop上赌场
超过四分之一的手机上银行,但分支仍然受欢迎
澳大利亚为物联网爆炸准备
如何利用新时代的电子产品来构建创新解决方案
马歇尔电子推出两款具有同步锁相功能的新型全局快门相机
NUS工程师收集WiFi信号为小型电子设备供电
您的位置:首页 >产品 > 智能硬件 >

Trendmicro发布紧急修复

2021-06-07 16:46:49 [来源]:

在谷歌研究员发现关键缺陷后,安全公司Trendmicro发布了Windows防病毒生产的密码管理器组件的紧急修复。

但是,在安全公司提醒安全公司的事实后,修补程序来临六天,可以利用软件中的缺陷来执行恶意代码和查看存储的密码。

有争议的项目零漏洞研究员Tavis Ormandy详细说明了他在一系列博客帖子中与Trendmicro的交流,他敦促该公司立即采取行动。

“这在默认安装中是琐碎的和可发现的,并且明显令人讨厌 - 在我看来,你应该在我的意见中寻找解决这个问题,”他在第一次接触Trendmicro后的一天说。

根据Ormandy的说法,谁已经从几家供应商处公开了安全软件的缺陷,即使运行软件的人从未使用过密码功能,也可以利用缺陷。

但是那些使用密码管理器组件的人很容易受到允许攻击者查看它们所属的散列密码和明文的Internet域的攻击者。

安全公司还通过将自签名证书添加到本地机器证书商店,使联想与超级鱼和戴尔制作的同联的犯了同样的错误。

“Trendmicro有助于为Trust Store添加一个自签名的HTTPS证书,使您无需点击任何安全错误,”Ormandy说。

一旦他发表联系,Ormandy不断敦促Trendmicro移动更快,以遏制威胁,并建议七次审计代码的专业安全顾问。

他还建议安全公司暂时禁用密码管理器功能。“在我处理安全供应商的经验中,如果供应商迅速行动以曾经通知曾经出现问题,则用户非常宽容错误。我认为你能做的最糟糕的事情就是让你在清洁这个东西时暴露的用户。当然,选择是你的,“他说。

Trendmicro最终开始在紧急情况下工作,现在已经推向了客户。该公司在一份声明中表示,它与Ormandy合作,作为其标准漏洞响应进程的一部分,以确定和解决漏洞。声明说:“客户现在通过自动更新获得保护。Ormandy表示,更新有助于减轻最紧急的问题,但有“仍然存在很多问题”,并呼吁公司以外部专业人士审计的代码。Ormandy是一个着名的错误猎人,在各种供应商的一些安全产品中,包括卡巴斯基实验室,AVG,Fireeye和Sophos的一些安全漏洞。Google Project Zero于2014年设置,目的是通过报告零天漏洞来提高安全性,但软件供应商一直是团队集合的90天截止日期的批评。有些供应商表示,90天往往不够长,但谷歌已经为政策辩护,作为确保供应商通过负责任披露采取行动的方式。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。