Trendmicro发布紧急修复
在谷歌研究员发现关键缺陷后,安全公司Trendmicro发布了Windows防病毒生产的密码管理器组件的紧急修复。
但是,在安全公司提醒安全公司的事实后,修补程序来临六天,可以利用软件中的缺陷来执行恶意代码和查看存储的密码。
有争议的项目零漏洞研究员Tavis Ormandy详细说明了他在一系列博客帖子中与Trendmicro的交流,他敦促该公司立即采取行动。
“这在默认安装中是琐碎的和可发现的,并且明显令人讨厌 - 在我看来,你应该在我的意见中寻找解决这个问题,”他在第一次接触Trendmicro后的一天说。
根据Ormandy的说法,谁已经从几家供应商处公开了安全软件的缺陷,即使运行软件的人从未使用过密码功能,也可以利用缺陷。
但是那些使用密码管理器组件的人很容易受到允许攻击者查看它们所属的散列密码和明文的Internet域的攻击者。
安全公司还通过将自签名证书添加到本地机器证书商店,使联想与超级鱼和戴尔制作的同联的犯了同样的错误。
“Trendmicro有助于为Trust Store添加一个自签名的HTTPS证书,使您无需点击任何安全错误,”Ormandy说。
一旦他发表联系,Ormandy不断敦促Trendmicro移动更快,以遏制威胁,并建议七次审计代码的专业安全顾问。
他还建议安全公司暂时禁用密码管理器功能。“在我处理安全供应商的经验中,如果供应商迅速行动以曾经通知曾经出现问题,则用户非常宽容错误。我认为你能做的最糟糕的事情就是让你在清洁这个东西时暴露的用户。当然,选择是你的,“他说。
Trendmicro最终开始在紧急情况下工作,现在已经推向了客户。该公司在一份声明中表示,它与Ormandy合作,作为其标准漏洞响应进程的一部分,以确定和解决漏洞。声明说:“客户现在通过自动更新获得保护。Ormandy表示,更新有助于减轻最紧急的问题,但有“仍然存在很多问题”,并呼吁公司以外部专业人士审计的代码。Ormandy是一个着名的错误猎人,在各种供应商的一些安全产品中,包括卡巴斯基实验室,AVG,Fireeye和Sophos的一些安全漏洞。Google Project Zero于2014年设置,目的是通过报告零天漏洞来提高安全性,但软件供应商一直是团队集合的90天截止日期的批评。有些供应商表示,90天往往不够长,但谷歌已经为政策辩护,作为确保供应商通过负责任披露采取行动的方式。