Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1672279
  • 博文数量: 1279
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 13084
  • 用 户 组: 普通用户
  • 注册时间: 2018-03-07 16:26
个人简介

Linux学习小标兵,专注Linux资讯分享,技术文章分享

文章分类

全部博文(1279)

文章存档

2023年(236)

2022年(285)

2021年(265)

2020年(248)

2019年(213)

2018年(32)

我的朋友

分类: LINUX

2022-06-08 22:05:29

曝趋势杀毒远程执行漏洞:可盗取用户所有密码曝趋势杀毒远程执行漏洞:可盗取用户所有密码
谷歌著名安全研究员塔维斯·奥曼迪(Tavis Ormandy)——谷歌信息安全工程师,进一步提供证据证明杀毒软件是黑客入侵的渠道。其发现趋势科技杀毒产品中存在漏洞,可致任意网站执行远程代码盗取用户的所有密码,奥曼迪这样说道:“这意味着网络上的任何人都能完全静默地偷走你的所有密码,还能在无需用户互动的情况下执行任意代码”,但趋势科技表示已修复该漏洞和远程执行漏洞。

趋势的杀毒产品有个密码管理器,用户可以选择将密码导出到这里面,该管理器是用JavaScript写的,开启了多个HTTP远程的过程中调用端口来处理API请求。奥曼迪在其中轻易地找到了一个可以接受远程代码的端口,同时还找到一个允许访问存放在该管理器中的密码的API,奥曼迪总共找到了70多个暴露在互联网上的API,他并没对所有找到的API进行安全问题调查,但他建议趋势科技聘用外部顾问来审计这些代码。杀毒软件通常以高权限运行于操作系统之上,意味着其中的漏洞若被利用,黑客将几乎能对计算机为所欲为。卡巴斯基、ESET、Avast、AVG、英特尔安全(前迈克菲)和Malwarebytes,过去7个月里,众多杀毒软件厂商的产品中检出了十多个严重漏洞。


本文来自《Linux就该这么学》官方资讯站。
阅读(227) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~