Schwere Sicherheitslücke: Passwort-Manager von Trend Micro erlaubt Zugriff auf PCs

Ein Google -Sicherheitsforscher hat eine schwere Sicherheitslücke im Passwort-Manager von Trend Micro entdeckt. Über das Internet hätten Angreifer alle Passwörter auslesen können.

12. Januar 2016 um 11:51 Uhr / Friedhelm Greis

19 Kommentare News folgen (öffnet im neuen Fenster)

Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. (Bild: Trend Micro) — Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. Bild: Trend Micro

Die Sicherheitssoftware des japanischen Virenschutzherstellers Trend Micro hat offenbar selbst die Sicherheit von Computernutzern gefährdet. Wie Tavis Ormandy von Googles Projekt Zero herausfand(öffnet im neuen Fenster) , ermöglichte eine Sicherheitslücke in einem Passwort-Manager(öffnet im neuen Fenster) von Trend Micro das Einschleusen und Ausführen von Schadcode. Das Unternehmen hat inzwischen ein Update veröffentlicht, das die kritischen Lücken schließen soll. Ormandy schrieb dazu:(öffnet im neuen Fenster) "Es sieht so aus, als ob es einen Patch gibt und das Problem gelöst ist."

Der Passwort-Manager ist Teil eines Sicherheitspaketes von Trend Micro und erlaubt in seiner kostenlosen Variante das Speichern von fünf Passwörtern. Laut Ormandy basiert der Passwort-Manager hauptsächlich auf Javascript und dem Webserver node.js. Das Programm öffne mehrere Ports, über die API-Anfragen verarbeitet werden. Er habe nur 30 Sekunden gebraucht, um eine URL zu finden, die das Ausführen beliebiger Befehle auf der Windows-Kommandozeile erlaube, schrieb Ormandy am vergangenen Mittwoch. Am Freitag fügte er hinzu(öffnet im neuen Fenster) : "Da gibt es eine schöne, saubere API, um an die im Passwort-Manager gespeicherten Passwörter heranzukommen. Damit kann jeder alle gespeicherten Passwörter lesen."

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Nachrichtentechniker/-innen (m/w/d) für die operative Einsatztechnik Bundesamt für Verfassungsschutz, Köln (öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

Webdesigner/in (m/w/d) Frontend .wtv Württemberger Medien GmbH & Co. KG, Stuttgart (öffnet im neuen Fenster)

IT Service Desk Mitarbeiter:in (m/w/d) - Workplace & Client Support SMF GmbH, Dortmund (öffnet im neuen Fenster)

IT Administrator Microsoft 365 & Azure (m/w/d) Schreiner Group GmbH & Co. KG, Hebertshausen (öffnet im neuen Fenster)

Process Governance Specialist (m/w/d) TIB Chemicals AG, Mannheim (öffnet im neuen Fenster)

Kaufmännische/r Mitarbeiter/in in der Verwaltung (m/w/d) Teilzeit Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH, Wadern (öffnet im neuen Fenster)

IT Application Specialist - CRM (m/w/d) im Bereich IT Commercial Systems Carthago Reisemobilbau GmbH, Aulendorf (öffnet im neuen Fenster)

Schwere Vorwürfe von Google

Google gab dem japanischen Unternehmen 90 Tage Zeit, um den Fehler zu beheben. Das ist offenbar geschehen. Daher wurde die Kommunikation zwischen Google und Trend Micro nun freigeschaltet. Darin erhob der Sicherheitsforscher schwere Vorwürfe gegenüber dem Unternehmen. "Jeder im Internet kann alle Passwörter komplett geräuschlos stehlen, zudem beliebigen Code ohne jede Interaktion mit dem Nutzer ausführen. Ich hoffe wirklich, dass die Schwere dieses Problems Ihnen klar ist."

Er empfahl Trend Micro, diese Funktion für die Nutzer vorübergehend auszuschalten, sich für die zeitweilige Unterbrechung zu entschuldigen und den Code durch externe Sicherheitsexperten prüfen zu lassen. Seiner Ansicht nach verzeihen die Nutzer einem Sicherheitsunternehmen solche Fehler, wenn schnell auf deren Bekanntwerden reagiert werde. "Das Schlimmste, was Sie machen können, ist, die Nutzer weiterhin der Gefahr auszusetzen, während das Problem behoben wird" , schrieb Ormandy.

Zur Startseite 19 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

Schwere Vorwürfe von Google

Relevante Themen