Un hacker de Google tance Trend Micro pour de grosses vulnérabilités

Le par  |  0 commentaire(s)
serrure-numerique

Dans sa nouvelle lubie de cibler les éditeurs d'antivirus, Tavis Ormandy a encore frappé. La nouvelle victime du hacker de Project Zero de Google est Trend Micro pour des vulnérabilités critiques affectant son gestionnaire de mots de passe.

Tavis Ormandy a encore frappé et c'est à Trend Micro que cela fait mal. Après AVG, FireEye, Kaspersky Lab, Avast ou encore ESET, le hacker du projet Zero de Google a réprimandé Trend Micro à la suite de la mise au jour de plusieurs vulnérabilités de sécurité.

" N'importe quel internaute peut voler tous les mots de passe de manière totalement silencieuse, ainsi qu'exécuter du code arbitraire sans aucune interaction de la part de l'utilisateur. J'espère vraiment que la gravité de cette situation est claire pour vous parce que je suis étonné de tout cela "

, a écrit Tavis Ormandy dans un échange avec un employé du service clientèle de Trend Micro.

Le chercheur en sécurité émérite a pointé du doigt des failles dans le gestionnaire de mots de passe qui est présent par défaut lors de l'installation de Trend Micro Antivirus sur Windows et se lance automatiquement au démarrage.

Principalement écrit en JavaScript avec Node.js, ce composant ouvre plusieurs ports HTTP RPC pour le traitement de requêtes API. Tavis Ormandy assure qu'il n'a eu besoin que de 30 secondes pour en trouver une permettant l'exécution d'une commande arbitraire directement sur la machine et offrant un accès aux mots de passe stockés. N'importe quelle page Web piégée pouvait alors en faire autant. En tout, il a découvert que plus de 70 API étaient exposées.

Dans une réponse, Trend Micro indique que les vulnérabilités critiques rapportées ont été corrigées pour tous les utilisateurs de Trend Micro Password Manager via une mise à jour obligatoire diffusée le 11 janvier (par le biais de la technologie ActiveUpdate qui ne peut pas être désactivée).

Trend Micro souligne sa réaction rapide (moins d'une semaine pour la correction de la plupart des problèmes critiques) et son travail en collaboration avec Tavis Ormandy. Ce dernier n'a probablement pas fini de faire parler de lui.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]