Schwere Sicherheitslücke: Passwort-Manager von Trend Micro erlaubt Zugriff auf PCs

Ein Google-Sicherheitsforscher hat eine schwere Sicherheitslücke im Passwort-Manager von Trend Micro entdeckt. Über das Internet hätten Angreifer alle Passwörter auslesen können.

Artikel veröffentlicht am ,
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen.
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. (Bild: Trend Micro)

Die Sicherheitssoftware des japanischen Virenschutzherstellers Trend Micro hat offenbar selbst die Sicherheit von Computernutzern gefährdet. Wie Tavis Ormandy von Googles Projekt Zero herausfand, ermöglichte eine Sicherheitslücke in einem Passwort-Manager von Trend Micro das Einschleusen und Ausführen von Schadcode. Das Unternehmen hat inzwischen ein Update veröffentlicht, das die kritischen Lücken schließen soll. Ormandy schrieb dazu: "Es sieht so aus, als ob es einen Patch gibt und das Problem gelöst ist."

Stellenmarkt
  1. Digitalisierungsbeauftragter (m/w/d)
    Landkreis Göppingen, Göppingen
  2. Business Analyst (m/w/d)
    Allianz Lebensversicherungs - AG, Stuttgart
Detailsuche

Der Passwort-Manager ist Teil eines Sicherheitspaketes von Trend Micro und erlaubt in seiner kostenlosen Variante das Speichern von fünf Passwörtern. Laut Ormandy basiert der Passwort-Manager hauptsächlich auf Javascript und dem Webserver node.js. Das Programm öffne mehrere Ports, über die API-Anfragen verarbeitet werden. Er habe nur 30 Sekunden gebraucht, um eine URL zu finden, die das Ausführen beliebiger Befehle auf der Windows-Kommandozeile erlaube, schrieb Ormandy am vergangenen Mittwoch. Am Freitag fügte er hinzu: "Da gibt es eine schöne, saubere API, um an die im Passwort-Manager gespeicherten Passwörter heranzukommen. Damit kann jeder alle gespeicherten Passwörter lesen."

Schwere Vorwürfe von Google

Google gab dem japanischen Unternehmen 90 Tage Zeit, um den Fehler zu beheben. Das ist offenbar geschehen. Daher wurde die Kommunikation zwischen Google und Trend Micro nun freigeschaltet. Darin erhob der Sicherheitsforscher schwere Vorwürfe gegenüber dem Unternehmen. "Jeder im Internet kann alle Passwörter komplett geräuschlos stehlen, zudem beliebigen Code ohne jede Interaktion mit dem Nutzer ausführen. Ich hoffe wirklich, dass die Schwere dieses Problems Ihnen klar ist."

Er empfahl Trend Micro, diese Funktion für die Nutzer vorübergehend auszuschalten, sich für die zeitweilige Unterbrechung zu entschuldigen und den Code durch externe Sicherheitsexperten prüfen zu lassen. Seiner Ansicht nach verzeihen die Nutzer einem Sicherheitsunternehmen solche Fehler, wenn schnell auf deren Bekanntwerden reagiert werde. "Das Schlimmste, was Sie machen können, ist, die Nutzer weiterhin der Gefahr auszusetzen, während das Problem behoben wird", schrieb Ormandy.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


DerVorhangZuUnd... 12. Jan 2016

Kopf -> Tisch -> Knall, Klirr, Wums

derdiedas 12. Jan 2016

Einfach den original thread lesen: https://code.google.com/p/google-security-research...

ThiefMaster 12. Jan 2016

Yubikey und so sind AFAIK alle nicht zur Entschlüsselung geeignet sondern nur zur...



Aktuell auf der Startseite von Golem.de
Powertoys
Microsofts kostenlose Tools, die Windows besser machen

Dateien benennen und Programme von überall starten: Mit den richtigen Tools lässt sich Windows besser bedienen. Wir zeigen die Powertoys.
Von Oliver Nickel

Powertoys: Microsofts kostenlose Tools, die Windows besser machen
Artikel
  1. Artemis: NASA zeigt neue Bilder ihrer SLS-Mondrakete
    Artemis
    NASA zeigt neue Bilder ihrer SLS-Mondrakete

    Mit der Artemis-Mission sollen bis 2024 wieder Menschen auf dem Mond landen. Nun zeigt die NASA aktuelle Bilder ihrer Mondträgerrakete.

  2. Robotik: Fliegende Mini-Roboter, so klein wie Sandkörner
    Robotik
    Fliegende Mini-Roboter, so klein wie Sandkörner

    Forschende haben den kleinsten fliegenden Roboter hergestellt. Er könnte beispielsweise Epidemien frühzeitig erkennen.

  3. Samsung Galaxy Tab S7+ bei Amazon um 230 Euro reduziert
     
    Samsung Galaxy Tab S7+ bei Amazon um 230 Euro reduziert

    Samsung-Produkte zum Spitzenpreis gibt es jetzt eine Woche lang bei Amazon, darunter Tablets, Smartphones, Haushaltsgeräte und vieles mehr.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    •  /