Schwere Sicherheitslücke: Passwort-Manager von Trend Micro erlaubt Zugriff auf PCs

Ein Google-Sicherheitsforscher hat eine schwere Sicherheitslücke im Passwort-Manager von Trend Micro entdeckt. Über das Internet hätten Angreifer alle Passwörter auslesen können.

Artikel veröffentlicht am ,
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen.
Über den Passwort-Manager ließen sich beliebige andere Programme ausführen. (Bild: Trend Micro)

Die Sicherheitssoftware des japanischen Virenschutzherstellers Trend Micro hat offenbar selbst die Sicherheit von Computernutzern gefährdet. Wie Tavis Ormandy von Googles Projekt Zero herausfand, ermöglichte eine Sicherheitslücke in einem Passwort-Manager von Trend Micro das Einschleusen und Ausführen von Schadcode. Das Unternehmen hat inzwischen ein Update veröffentlicht, das die kritischen Lücken schließen soll. Ormandy schrieb dazu: "Es sieht so aus, als ob es einen Patch gibt und das Problem gelöst ist."

Stellenmarkt
  1. Digitalisierungsbeauftragter (m/w/d)
    Landkreis Göppingen, Göppingen
  2. Business Analyst (m/w/d)
    Allianz Lebensversicherungs - AG, Stuttgart
Detailsuche

Der Passwort-Manager ist Teil eines Sicherheitspaketes von Trend Micro und erlaubt in seiner kostenlosen Variante das Speichern von fünf Passwörtern. Laut Ormandy basiert der Passwort-Manager hauptsächlich auf Javascript und dem Webserver node.js. Das Programm öffne mehrere Ports, über die API-Anfragen verarbeitet werden. Er habe nur 30 Sekunden gebraucht, um eine URL zu finden, die das Ausführen beliebiger Befehle auf der Windows-Kommandozeile erlaube, schrieb Ormandy am vergangenen Mittwoch. Am Freitag fügte er hinzu: "Da gibt es eine schöne, saubere API, um an die im Passwort-Manager gespeicherten Passwörter heranzukommen. Damit kann jeder alle gespeicherten Passwörter lesen."

Schwere Vorwürfe von Google

Google gab dem japanischen Unternehmen 90 Tage Zeit, um den Fehler zu beheben. Das ist offenbar geschehen. Daher wurde die Kommunikation zwischen Google und Trend Micro nun freigeschaltet. Darin erhob der Sicherheitsforscher schwere Vorwürfe gegenüber dem Unternehmen. "Jeder im Internet kann alle Passwörter komplett geräuschlos stehlen, zudem beliebigen Code ohne jede Interaktion mit dem Nutzer ausführen. Ich hoffe wirklich, dass die Schwere dieses Problems Ihnen klar ist."

Er empfahl Trend Micro, diese Funktion für die Nutzer vorübergehend auszuschalten, sich für die zeitweilige Unterbrechung zu entschuldigen und den Code durch externe Sicherheitsexperten prüfen zu lassen. Seiner Ansicht nach verzeihen die Nutzer einem Sicherheitsunternehmen solche Fehler, wenn schnell auf deren Bekanntwerden reagiert werde. "Das Schlimmste, was Sie machen können, ist, die Nutzer weiterhin der Gefahr auszusetzen, während das Problem behoben wird", schrieb Ormandy.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Let's Encrypt
Kostenlose Zertifikate angeblich auch für Malware
artikel-bild
Telekommunikationsdienst
Der EuGH muss über Gmail urteilen
artikel-bild
Chronicle
Alphabet will zum Sicherheitsunternehmen werden
artikel-bild
E-Mail-Konto
90 Prozent der Gmail-Nutzer nutzen keinen zweiten Faktor
Meistgelesen
artikel-bild
Powertoys
Microsofts kostenlose Tools, die Windows besser machen
artikel-bild
Bundestagswahl
Bitte nicht in Jamaika landen!
artikel-bild
Mr. Goxx
Hamster handelt mit Kryptowährungen und schlägt Aktienindex
artikel-bild
Amtlicher Energiekostenvergleich
Benzinkosten mehr als doppelt so teuer wie Ladestrom
Kommentarübersicht
Trend Micro und erlaubt in seiner kostenlosen...
DerVorhangZuUnd... 12. Jan 2016

Kopf -> Tisch -> Knall, Klirr, Wums

Wer will mal so richtig herzhaft lachen?
derdiedas 12. Jan 2016

Einfach den original thread lesen: https://code.google.com/p/google-security-research...

Re: Selber schuld ...
ThiefMaster 12. Jan 2016

Yubikey und so sind AFAIK alle nicht zur Entschlüsselung geeignet sondern nur zur...

Aktuell auf der Startseite von Golem.de
Powertoys
Microsofts kostenlose Tools, die Windows besser machen

Dateien benennen und Programme von überall starten: Mit den richtigen Tools lässt sich Windows besser bedienen. Wir zeigen die Powertoys.
Von Oliver Nickel

Powertoys: Microsofts kostenlose Tools, die Windows besser machen
Artikel
  1. Artemis: NASA zeigt neue Bilder ihrer SLS-Mondrakete
    Artemis
    NASA zeigt neue Bilder ihrer SLS-Mondrakete

    Mit der Artemis-Mission sollen bis 2024 wieder Menschen auf dem Mond landen. Nun zeigt die NASA aktuelle Bilder ihrer Mondträgerrakete.

  2. Robotik: Fliegende Mini-Roboter, so klein wie Sandkörner
    Robotik
    Fliegende Mini-Roboter, so klein wie Sandkörner

    Forschende haben den kleinsten fliegenden Roboter hergestellt. Er könnte beispielsweise Epidemien frühzeitig erkennen.

  3. Samsung Galaxy Tab S7+ bei Amazon um 230 Euro reduziert
     
    Samsung Galaxy Tab S7+ bei Amazon um 230 Euro reduziert

    Samsung-Produkte zum Spitzenpreis gibt es jetzt eine Woche lang bei Amazon, darunter Tablets, Smartphones, Haushaltsgeräte und vieles mehr.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /