信息來源：FreeBuf

如果你電腦上安裝了趨勢科技（Trend Micro）的殺毒軟件，那么此時你需要當(dāng)心啦。因?yàn)槟愕碾娔X可能會被遠(yuǎn)程劫持，甚至通過一個網(wǎng)站就能感染任何惡意軟件，這都是因?yàn)榇嬖谟谮厔菘萍及踩浖械囊粋€嚴(yán)重漏洞。

趨勢科技?xì)④浧貒?yán)重漏洞

著名殺毒軟件制造商兼安全公司趨勢科技發(fā)布了一個緊急補(bǔ)丁，以此來修復(fù)其殺毒軟件產(chǎn)品中存在的幾個嚴(yán)重漏洞，這些漏洞允許黑客遠(yuǎn)程執(zhí)行任意命令，并可以竊取用戶使用其殺毒軟件中內(nèi)置的密碼管理器所保存的密碼。

這個密碼管理工具是與其主要的殺毒軟件綁定在一起的，用于存儲用戶密碼，工作起來就像任何其他密碼管理器應(yīng)用程序一樣。

遠(yuǎn)程竊取密碼

谷歌的Project Zero安全研究員Tavis Ormandy發(fā)現(xiàn)，趨勢科技的殺毒軟件的密碼管理器組件中存在一個遠(yuǎn)程代碼執(zhí)行漏洞，允許黑客盜取用戶的密碼。簡而言之，一旦你的電腦被入侵，那么你所有的賬戶密碼將一去不復(fù)返。

從技術(shù)上來講，通過在本地計算機(jī)上啟動一個Node.js服務(wù)器，殺毒軟件套件內(nèi)的密碼管理器組件才開始工作，默認(rèn)情況下是在每次殺毒軟件啟動時。Ormandy在分析這個密碼管理器組件時發(fā)現(xiàn)， Node.js服務(wù)器將大量用于處理API請求的HTTP RPC端口暴露到互聯(lián)網(wǎng)上。

在http://localhost:49155/api/處可以訪問，黑客可以精心制作惡意鏈接，當(dāng)安裝了趨勢科技?xì)⒍拒浖挠脩魡螕舸随溄訒r，就能在不與用戶進(jìn)行任何交互的情況下在本地計算機(jī)上執(zhí)行任意代碼。

簡而言之，遠(yuǎn)程攻擊者可以在你的計算機(jī)上很容易地下載并執(zhí)行惡意代碼，而這些都是在你毫無覺察的情況下進(jìn)行的。除此之外，Ormandy還發(fā)現(xiàn)，趨勢科技的密碼管理器還通過相同的Node.js服務(wù)器暴露了70多個API。

更多問題？趨勢科技使用自簽名的SSL證書

就像聯(lián)想的Superfish和戴爾的eDellRoot，趨勢科技也在其用戶的證書存儲中增加了一個自簽名的HTTPS安全證書，該證書可以截獲用戶訪問的每一個網(wǎng)站的加密流量，這樣其用戶將不會看到任何HTTPS錯誤。Ormandy表示“這種做法是相當(dāng)荒謬的”。

Ormandy將這個問題報告給了趨勢科技團(tuán)隊(duì)，并幫助他們開發(fā)了一個安全補(bǔ)丁，目前可用于解決遠(yuǎn)程代碼執(zhí)行漏洞。所以，建議趨勢科技?xì)⒍拒浖脩舯M快更新他們的殺毒軟件。

*參考來源：THN，F(xiàn)B小編JackFree編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.com）