トレンドマイクロの「パスワードマネージャー」に情報漏えいにつながる可能性のある脆弱性 20
ストーリー by hylom
こんな典型的な脆弱性をセキュリティ企業がやるのか 部門より
こんな典型的な脆弱性をセキュリティ企業がやるのか 部門より
トレンドマイクロが提供するパスワードマネージャにおいて、利用時にインストールされる鍵ペアとルートCA証明書の管理が適切に管理されていないという脆弱性(JVNDB-2020-000005)と、特定の条件下でIDとパスワードの情報をメモリ内に平文で保存し続けるという脆弱性(JVNDB-2020-000004)が確認された(INTERNET Watch、発見者によるブログ記事)。
前者の脆弱性は、ローカルの第三者がこの秘密鍵にアクセスしてローカルマシン上で信頼される任意のSSL/TLSサーバー証明書を作成することで、フィッシングなどに悪用される可能性がある。また、後者の脆弱性ではメモリをスキャンすることでIDとパスワードを取得できる可能性がある。
なお、発見者によると前者の脆弱性については報告当初トレンドマイクロは「脆弱性ではない」と主張していたという。
ただより高い物はないと教えられたのだが (スコア:1)
5つまでのIDとパスワードはタダ [trendmicro.com]だけどそれ以上は有料 [trendmicro.com]だとのこと。アカウントとパスワードがセットで某国に送られていてそれがいつか流出しそうで怖いのだが、多分これに金を出す人がいるのですね。
Re: (スコア:0)
利用者の少ない有料ソフトは無料と比べてセキュリティ面で危ないって常識にならんかな
パスワード管理ソフトは基本プレイ無料で利用者の多い製品が他にいくらでもあるのに
Re: (スコア:0)
そんな常識は、ないぞ!
トレンドマイクロだとセキュリティ面で危ないって常識になるかもしれんが…
Re: (スコア:0)
無料だから利用者が多いだけで、信頼できるかどうかはまた別の話。
有料だったら信頼できる、と言えないのも真。
オープンソースだから安全、というわけでもないのも真。
“また”トレンドマイクロか。 (スコア:0)
“また”ですね。
トレンドマイクロのプロダクトには生涯近寄りたくないと個人的に思う今日この頃。
Re:“また”トレンドマイクロか。 (スコア:1)
>“また”ですね。
トレンドマイクロ自体が「脆弱性」に見えてしまう昨今。
Re: (スコア:0)
失礼な!
トレンドマイクロ自体は「仕様通り」です!!
# ダメダメ仕様???
Re: (スコア:0)
資本の中心も開発の中心も中国本土だし、
本当にこれが「仕様通り」の動きなんじゃないかって気はしますね。
Re:“また”トレンドマイクロか。 (スコア:1)
それでも事業継続できてんだから、素晴らしい営業力ではないか!
Re:“また”トレンドマイクロか。 (スコア:1)
特に某社のパスワードマネージャーは、
遠隔操作できてしまう脆弱性を [it.srad.jp]
過去に何回か発見されているよね・・・ [it.srad.jp]
# 過去の記事を再発見したのか?と疑ってしまったよ
# というか、ブラウザの標準機能のほうが信頼できるし十分では?
Re:“また”トレンドマイクロか。 (スコア:1)
関連ストーリーにはないみたいなんだけど、この「Trend Microのパスワード管理ソフトにリモートから任意コード実行可能な脆弱性」 [it.srad.jp]を読んだとき、設計からしてこれはまだまだ余罪(?)があるんじゃないかと感じたんだ。
トレンドの製品に関わった人なら、声には出さなくても、この会社の製品はどこか設計がおかしいぞと思ってるはず。
Re: (スコア:0)
トレンドマイクロって普通にマルウェア配布して [yro.srad.jp]、
バレたら説明や規約でデータ盗むと書き加えて [it.srad.jp]、
「利用者同意なので問題なし!」とか言いだして、
それもバレたら「俺が欲しいと思ったから収集したまで、俺は悪くねぇ [security.srad.jp]」
とか平然とやらかす組織でしょ?
設計云々以前の問題。
まぁ悪意がある組織の技術力が低いのは喜ばしいことだと思います。
Re: (スコア:0)
そんなトレンドマイクロのウイルスバスターを去年全国の部署に導入させたおバカな会社があるんですよ。
「決定した奴は絶対袖の下を貰っている」とみんな噂しています。
Re: (スコア:0)
意外と日本どこでもそんなもん
国内PCメーカーも中身はレノボ(複数の前科があり一番信用できない)で、そのメーカーが官公庁のシステムを数多く作ってたりとかするのが日本
Re: (スコア:0)
しょーがねーだろレノボ安いんだよ
値段しか評価軸として見てない奴らに訴えられるから採用せざるを得ないだろ。
そりゃトレンドマイクロですし (スコア:0)
当然ですよ
脆弱性ではない? (スコア:0)
この件ですかね。
https://twitter.com/HiromitsuTakagi/status/1162117251878641664 [twitter.com]
Re:脆弱性ではない? (スコア:2)
そっちはウイルスバスターを無効にできる欠陥と今回の脆弱性の組み合わせについて
パスワードマネージャーで情報引っこ抜いたり、SSL認証悪用してフィッシングでいろいろな認証情報ぶっこ抜くマルウェア作れるから、
ウイルスバスター無効にされたら 簡単に侵入される企業も存在するんじゃね?
って思って、思ってひろみつ先生に進言したんだけど、
「これを組み合わせても簡単には侵入できない」と否定されてしまった件であって、ちょっと違います (・ω・)
脆弱性でないと否定された件については、
トレンドマイクロが買収した某脆弱性報奨金サイトと、トレンドマイクロの技術者の勘違いによる二重否定であります。
実際のとこ、どう管理するといいのですかね (スコア:0)
必要なときだけ復号して
用が済んだらゼロクリア、
ではイマイチですが
Re: (スコア:0)
他APIに渡す瞬間にスタックに置いておく以外は常に暗号化したまま扱う、
他API呼び終わったらスタックにゴミを積む、でいいんだろうけど、
そもそもメモリのスナップショット取れれば普通に解析可能だからね。
メモリ読まれた時点で負けではあるがその際の二次的防御。
ソルト付きハッシュと似たようなものかな。
そこよかルート証明書の方がヤバイかと。