趋势网(微博|微信)讯:这是一个令人头疼的问题。最近,谷歌代码的一个线程显示,趋势科技在系统默认地情况下,在用户电脑上安装了一个完全开放的node.js服务器,随后竟暴露了其安装杀毒软件的所有用户,使其受到严重攻击。
node.js服务器是趋势科技研发的一项用于密码管理的工具,它随公司的杀毒软件一起安装,并被设置成系统默认情况下,在电脑启动时会自动打开。
这项服务器通过发送一个JavaScript请求,在本地计算机上执行恶意应用程序,使得许多端口被迫公开,从而暴露进入任何网站的用户信息。这意味着,远程攻击者可以很容易地下载代码,并在受害者的机器上进行蓄意破坏。
这确实是一件糟糕的不能再糟糕的事情。
趋势科技还在用户的证书存储里添加了一个已签名的安全证书,所以用户不会看到任何HTTPS(超文本传输协议安全)错误。
谷歌的零漏洞项目小组研究人员奥曼迪获悉这项消息后,在线程中写道,“这是无比荒谬的。”
奥曼迪发现,由于研究存在缺陷,攻击者可以窃取趋势科技的密码存储,并将其解密。对此他感到非常震惊,并告诉趋势科技公司,“我真的希望贵公司能清楚地意识到这件事的严峻性。”
随后他建议趋势科技禁用此项功能,从而保护用户的安全。
“在我看来,趋势科技应暂时禁用这项功能,并向用户做出道歉,然后聘请外部咨询公司来对代码进行审核。以我多年处理安全问题的经验来看,一旦发现一个问题,如果我们迅速行动并采取有效措施解决,用户也不会过于怪罪我们。而最糟糕的事情莫过于你在解决这项问题的同时还把用户暴露了。当然,这决定于公司的选择。”
最终,趋势科技并没有选择禁用这项工具,取而代之的是,在两天前对第一个漏洞进行紧急补丁。
这项问题首次暴露是在1月5日,但是直到今天都未得到解决,甚至只解决了一小部分,前景令人堪忧。
趋势科技的应对行动速度如此迟缓,奥曼迪对此深深担忧:“我都不知道该说什么。趋势科技怎么能在不经过安全顾问的审计下,就擅自在所有用户的机器上默认启用这项功能呢?”
趋势科技对用户暴露问题的进一步解决,我们只能静观其变了。
进
店
进
店
进
店
