Abo
  • Services:
Anzeige
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen.
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. (Bild: Trend Micro)

Schwere Sicherheitslücke: Passwort-Manager von Trend Micro erlaubt Zugriff auf PCs

Über den Passwort-Manager ließen sich beliebige andere Programme ausführen.
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. (Bild: Trend Micro)

Ein Google-Sicherheitsforscher hat eine schwere Sicherheitslücke im Passwort-Manager von Trend Micro entdeckt. Über das Internet hätten Angreifer alle Passwörter auslesen können.

Die Sicherheitssoftware des japanischen Virenschutzherstellers Trend Micro hat offenbar selbst die Sicherheit von Computernutzern gefährdet. Wie Tavis Ormandy von Googles Projekt Zero herausfand, ermöglichte eine Sicherheitslücke in einem Passwort-Manager von Trend Micro das Einschleusen und Ausführen von Schadcode. Das Unternehmen hat inzwischen ein Update veröffentlicht, das die kritischen Lücken schließen soll. Ormandy schrieb dazu: "Es sieht so aus, als ob es einen Patch gibt und das Problem gelöst ist."

Anzeige

Der Passwort-Manager ist Teil eines Sicherheitspaketes von Trend Micro und erlaubt in seiner kostenlosen Variante das Speichern von fünf Passwörtern. Laut Ormandy basiert der Passwort-Manager hauptsächlich auf Javascript und dem Webserver node.js. Das Programm öffne mehrere Ports, über die API-Anfragen verarbeitet werden. Er habe nur 30 Sekunden gebraucht, um eine URL zu finden, die das Ausführen beliebiger Befehle auf der Windows-Kommandozeile erlaube, schrieb Ormandy am vergangenen Mittwoch. Am Freitag fügte er hinzu: "Da gibt es eine schöne, saubere API, um an die im Passwort-Manager gespeicherten Passwörter heranzukommen. Damit kann jeder alle gespeicherten Passwörter lesen."

Schwere Vorwürfe von Google

Google gab dem japanischen Unternehmen 90 Tage Zeit, um den Fehler zu beheben. Das ist offenbar geschehen. Daher wurde die Kommunikation zwischen Google und Trend Micro nun freigeschaltet. Darin erhob der Sicherheitsforscher schwere Vorwürfe gegenüber dem Unternehmen. "Jeder im Internet kann alle Passwörter komplett geräuschlos stehlen, zudem beliebigen Code ohne jede Interaktion mit dem Nutzer ausführen. Ich hoffe wirklich, dass die Schwere dieses Problems Ihnen klar ist."

Er empfahl Trend Micro, diese Funktion für die Nutzer vorübergehend auszuschalten, sich für die zeitweilige Unterbrechung zu entschuldigen und den Code durch externe Sicherheitsexperten prüfen zu lassen. Seiner Ansicht nach verzeihen die Nutzer einem Sicherheitsunternehmen solche Fehler, wenn schnell auf deren Bekanntwerden reagiert werde. "Das Schlimmste, was Sie machen können, ist, die Nutzer weiterhin der Gefahr auszusetzen, während das Problem behoben wird", schrieb Ormandy.


eye home zur Startseite
DerVorhangZuUnd... 12. Jan 2016

Kopf -> Tisch -> Knall, Klirr, Wums

derdiedas 12. Jan 2016

Einfach den original thread lesen: https://code.google.com/p/google-security-research...

ThiefMaster 12. Jan 2016

Yubikey und so sind AFAIK alle nicht zur Entschlüsselung geeignet sondern nur zur...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Wuppertal
  2. E. M. Group Holding AG, Wertingen
  3. Hessisches Landeskriminalamt, Wiesbaden
  4. Bosch Service Solutions Leipzig GmbH, Leipzig


Anzeige
Hardware-Angebote
  1. 399€ + 3,99€ Versand

Folgen Sie uns
       


  1. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  2. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  3. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  4. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  5. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  6. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  7. Elektromobilität

    In Norwegen fehlen Ladesäulen

  8. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  9. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  10. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

  1. Re: Von wegen Ungewöhnliche Konstellation

    Schnarchnase | 21:06

  2. Re: Seit Monaten bekannt.

    flow77 | 21:05

  3. Re: Macht das überhaupt Sinn, eTrucks?

    Bendix | 21:04

  4. Re: na dann ist es nur noch ne frage der zeit bis...

    Sander Cohen | 21:01

  5. RAID6? Auf dem einen Bild erkennt man, ...

    philosophos | 21:00


  1. 19:04

  2. 18:51

  3. 18:41

  4. 17:01

  5. 16:46

  6. 16:41

  7. 16:28

  8. 16:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel