Trend Microのパスワード管理ソフト、リモートから任意コード実行可能な脆弱性が再び見つかる
2016年4月3日 19:31
Trend Microのパスワード管理ソフト「Password Manager」で、リモートから任意のコードを実行可能な脆弱性がGoogle Project ZeroチームのTavis Ormandy氏により発見された。Ormandy氏は1月にもPassword Managerで同様の脆弱性を発見している(Project Zero — Issue 773、The Registerの記事、Softpediaの記事)。 今回の脆弱性は、Node.jsで作成されたリモートデバッグスタブがPassword Managerのデフォルトで起動し、localhostをリッスンするというもの。そのため、ポート番号を指定してJavaScriptコードを実行することで、リモートから任意のコマンドを実行できるとのこと。スタブがリッスンするポートは変動するが、ポート番号は簡単なJavaScriptコードで特定可能だ。 Trend Microは3月22日にOrmandy氏から報告を受け、3月30日にパッチをリリースした。このパッチは完全なものではないが、重大な問題については修正済みとのことで、Project Zeroが脆弱性情報を公開している。 スラドのコメントを読む | ITセクション | セキュリティ | バグ
関連ストーリー: Symantec Endpoint Protectionに権限昇格や任意コード実行などが可能となる複数の脆弱性 2016年03月21日 Comodoのリモートサポートツールに脆弱性 2016年02月21日 セキュリティ企業が開発したChromiumベースの「セキュアな」Webブラウザに脆弱性 2016年02月06日 カスペルスキーのセキュリティソフトを導入するとWeb閲覧中勝手にカスペルスキーと通信するJSコードが実行される 2016年02月03日 LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 2016年01月21日 Trend Microのパスワード管理ソフトにリモートから任意コード実行可能な脆弱性 2016年01月14日 セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性 2016年01月03日