Abo
  • Services:
Anzeige
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen.
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. (Bild: Trend Micro)

Schwere Sicherheitslücke: Passwort-Manager von Trend Micro erlaubt Zugriff auf PCs

Über den Passwort-Manager ließen sich beliebige andere Programme ausführen.
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. (Bild: Trend Micro)

Ein Google-Sicherheitsforscher hat eine schwere Sicherheitslücke im Passwort-Manager von Trend Micro entdeckt. Über das Internet hätten Angreifer alle Passwörter auslesen können.

Die Sicherheitssoftware des japanischen Virenschutzherstellers Trend Micro hat offenbar selbst die Sicherheit von Computernutzern gefährdet. Wie Tavis Ormandy von Googles Projekt Zero herausfand, ermöglichte eine Sicherheitslücke in einem Passwort-Manager von Trend Micro das Einschleusen und Ausführen von Schadcode. Das Unternehmen hat inzwischen ein Update veröffentlicht, das die kritischen Lücken schließen soll. Ormandy schrieb dazu: "Es sieht so aus, als ob es einen Patch gibt und das Problem gelöst ist."

Anzeige

Der Passwort-Manager ist Teil eines Sicherheitspaketes von Trend Micro und erlaubt in seiner kostenlosen Variante das Speichern von fünf Passwörtern. Laut Ormandy basiert der Passwort-Manager hauptsächlich auf Javascript und dem Webserver node.js. Das Programm öffne mehrere Ports, über die API-Anfragen verarbeitet werden. Er habe nur 30 Sekunden gebraucht, um eine URL zu finden, die das Ausführen beliebiger Befehle auf der Windows-Kommandozeile erlaube, schrieb Ormandy am vergangenen Mittwoch. Am Freitag fügte er hinzu: "Da gibt es eine schöne, saubere API, um an die im Passwort-Manager gespeicherten Passwörter heranzukommen. Damit kann jeder alle gespeicherten Passwörter lesen."

Schwere Vorwürfe von Google

Google gab dem japanischen Unternehmen 90 Tage Zeit, um den Fehler zu beheben. Das ist offenbar geschehen. Daher wurde die Kommunikation zwischen Google und Trend Micro nun freigeschaltet. Darin erhob der Sicherheitsforscher schwere Vorwürfe gegenüber dem Unternehmen. "Jeder im Internet kann alle Passwörter komplett geräuschlos stehlen, zudem beliebigen Code ohne jede Interaktion mit dem Nutzer ausführen. Ich hoffe wirklich, dass die Schwere dieses Problems Ihnen klar ist."

Er empfahl Trend Micro, diese Funktion für die Nutzer vorübergehend auszuschalten, sich für die zeitweilige Unterbrechung zu entschuldigen und den Code durch externe Sicherheitsexperten prüfen zu lassen. Seiner Ansicht nach verzeihen die Nutzer einem Sicherheitsunternehmen solche Fehler, wenn schnell auf deren Bekanntwerden reagiert werde. "Das Schlimmste, was Sie machen können, ist, die Nutzer weiterhin der Gefahr auszusetzen, während das Problem behoben wird", schrieb Ormandy.


eye home zur Startseite
DerVorhangZuUnd... 12. Jan 2016

Kopf -> Tisch -> Knall, Klirr, Wums

derdiedas 12. Jan 2016

Einfach den original thread lesen: https://code.google.com/p/google-security-research...

ThiefMaster 12. Jan 2016

Yubikey und so sind AFAIK alle nicht zur Entschlüsselung geeignet sondern nur zur...



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  2. operational services GmbH & Co. KG, Frankfurt
  3. Landeshauptstadt München, München
  4. C.HAFNER GmbH + Co. KG Gold- und Silberscheideanstalt, Wimsheim


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Autonomes Fahren

    Singapur kündigt fahrerlose Busse an

  2. Coinhive

    Kryptominingskript in Chat-Widget entdeckt

  3. Monster Hunter World angespielt

    Die Nahrungskettensimulation

  4. Rechtsunsicherheit bei Cookies

    EU warnt vor Verzögerung von ePrivacy-Verordnung

  5. Schleswig-Holstein

    Bundesland hat bereits 32 Prozent echte Glasfaserabdeckung

  6. Tesla Semi

    Teslas Truck gibt es ab 150.000 US-Dollar

  7. Mobilfunk

    Netzqualität in der Bahn weiter nicht ausreichend

  8. Bake in Space

    Bloß keine Krümel auf der ISS

  9. Sicherheitslücke

    Fortinet vergisst, Admin-Passwort zu prüfen

  10. Angry Birds

    Rovio verbucht Quartalsverlust nach Börsenstart



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Firefox Nightly Build 58 Firefox warnt künftig vor Webseiten mit Datenlecks
  2. Mozilla Wenn Experimente besser sind als Produkte
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

  1. Re: Man stelle sich mal vor alle Berufsgruppen...

    bombinho | 01:03

  2. Re: Absolut demokratisch!*hust*

    mac4ever | 00:58

  3. Re: Überleben durch Anzahlungen

    Der Supporter | 00:57

  4. Re: beeindruckende Ersparnis! Hätte nicht...

    lear | 00:48

  5. Gibt es so etwas ähnliches...

    x2k | 00:45


  1. 17:56

  2. 15:50

  3. 15:32

  4. 14:52

  5. 14:43

  6. 12:50

  7. 12:35

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel