信息來源：FreeBuf

如果你電腦上安裝了趨勢科技（Trend Micro）的殺毒軟件，那么此時你需要當心啦。因為你的電腦可能會被遠程劫持，甚至通過一個網站就能感染任何惡意軟件，這都是因為存在于趨勢科技安全軟件中的一個嚴重漏洞。

趨勢科技殺軟曝嚴重漏洞

著名殺毒軟件制造商兼安全公司趨勢科技發(fā)布了一個緊急補丁，以此來修復其殺毒軟件產品中存在的幾個嚴重漏洞，這些漏洞允許黑客遠程執(zhí)行任意命令，并可以竊取用戶使用其殺毒軟件中內置的密碼管理器所保存的密碼。

這個密碼管理工具是與其主要的殺毒軟件綁定在一起的，用于存儲用戶密碼，工作起來就像任何其他密碼管理器應用程序一樣。

遠程竊取密碼

谷歌的Project Zero安全研究員Tavis Ormandy發(fā)現，趨勢科技的殺毒軟件的密碼管理器組件中存在一個遠程代碼執(zhí)行漏洞，允許黑客盜取用戶的密碼。簡而言之，一旦你的電腦被入侵，那么你所有的賬戶密碼將一去不復返。

從技術上來講，通過在本地計算機上啟動一個Node.js服務器，殺毒軟件套件內的密碼管理器組件才開始工作，默認情況下是在每次殺毒軟件啟動時。Ormandy在分析這個密碼管理器組件時發(fā)現， Node.js服務器將大量用于處理API請求的HTTP RPC端口暴露到互聯網上。

在http://localhost:49155/api/處可以訪問，黑客可以精心制作惡意鏈接，當安裝了趨勢科技殺毒軟件的用戶單擊此鏈接時，就能在不與用戶進行任何交互的情況下在本地計算機上執(zhí)行任意代碼。

簡而言之，遠程攻擊者可以在你的計算機上很容易地下載并執(zhí)行惡意代碼，而這些都是在你毫無覺察的情況下進行的。除此之外，Ormandy還發(fā)現，趨勢科技的密碼管理器還通過相同的Node.js服務器暴露了70多個API。

更多問題？趨勢科技使用自簽名的SSL證書

就像聯想的Superfish和戴爾的eDellRoot，趨勢科技也在其用戶的證書存儲中增加了一個自簽名的HTTPS安全證書，該證書可以截獲用戶訪問的每一個網站的加密流量，這樣其用戶將不會看到任何HTTPS錯誤。Ormandy表示“這種做法是相當荒謬的”。

Ormandy將這個問題報告給了趨勢科技團隊，并幫助他們開發(fā)了一個安全補丁，目前可用于解決遠程代碼執(zhí)行漏洞。所以，建議趨勢科技殺毒軟件用戶盡快更新他們的殺毒軟件。

*參考來源：THN，FB小編JackFree編譯，轉載請注明來自FreeBuf黑客與極客（FreeBuf.com）