Schwere SicherheitslĂĽcken im Passwort-Manager von Trend Micro

Google-Forscher Tavis Ormandy deckt wieder einmal Schwachstellen in Anti-Viren-Software auf. Bei Trend Micro stellt er konsterniert fest: "Das Lächerlichste, was ich je gesehen habe."

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Schwere SicherheitslĂĽcken im Passwort-Manager von Trend Micro
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Tavis Ormandy von Googles Project Zero nimmt mal wieder Anti-Viren-Software auseinander. Diesmal hat der Sicherheitsforscher schwerwiegende Sicherheitslücken im Passwort-Manager gefunden, der im Anti-Viren-Paket von Trend Micro integriert ist. Selbst wenn Nutzer diese Komponente nicht verwenden, können Angreifer über manipulierte Webseiten Schadcode auf deren Systemen ausführen. Ormandy fand diesen Fehler nach eigenen Angaben "innerhalb von etwa 30 Sekunden".

Klickt der Nutzer auf einen Link zu einer Localhost-URL, kann der Angreifer beliebigen Code ausfĂĽhren.

(Bild: Project Zero)

Als wäre das nicht schon schlimm genug, kann ein Angreifer alle Passwörter und die dazugehörigen Domains auslesen, wenn der Passwort-Manager benutzt wird. Zwar sind die Passwörter verschlüsselt, aber eine öffentlich erreichbare API auf dem Rechner des Opfers entschlüsselt sie auf Anfrage. Nachdem der Sicherheitsforscher die Lücken gemeldet hatte und einen funktionierenden Exploit entwickelte, hat Trend Micro einen Patch bereitgestellt, der die Lücken schließt.

Laut Ormandy sind damit aber noch lange nicht alle Probleme aus der Welt geschafft. Der Forscher berichtet von "ungefähr 70 APIs", die seiner Meinung nach auch gefährlichen Code enthalten könnten und empfiehlt Trend Micro, einen unabhängigen Audit des Quellcodes durchführen zu lassen.

Eine weitere Komponente des Anti-Viren-Programms, den Secure Browser, bezeichnete er nach einer kurzen Analyse als "das Lächerlichste, was ich je gesehen habe". Als Grundlage verwendet Trend Micro wohl eine veraltete Version des hauptsächlich von Google entwickelten Chromium-Codes. Allerdings sind wichtige Sicherheits-Features, wie etwa die Sandbox, abgeschaltet. Dass Trend Micro das Resultat als "sicheren Browser" verkauft, empfindet Ormandy als persönliche Beleidigung.

Angesichts der schwerwiegenden Lücken sollten Nutzer von Trend Micro Security verfügbare Updates so schnell wie möglich einspielen. Wann die Probleme mit dem Secure Browser und etwaigen anderen verwundbaren Komponenten behoben werden, ist bisher nicht bekannt. (fab)