Тэвис Орманди (Tavis Ormandy) из Google Project Zero, занимающийся аудитом антивирусных продуктов, обнаружил в популярном Trend Micro AV под Windows критическую уязвимость, при которой любой посещенный сайт может запустить на машине пользователя скрипт, например, для установки вредоносной программы или форматирования жестких дисков. Эксперт обратил внимание на один из компонентов антивируса, а именно на менеджер паролей Trend Micro Password Manager, написанный на JavaScript с использованием node.js. Оказалось, он открывает несколько HTTP RPC-портов, позволяющих выполнять произвольные команды несмотря на ограничения, предусмотренные политикой единого происхождения.

Продолжив исследования, Орманди пришел к выводу, что менеджер паролей настолько плох, что допускает кражу паролей даже если они зашифрованы. На данный момент известно, что в ночь на 12 января компания-разработчик закрыла озвученную уязвимость, однако по словам эксперта, в приложении до сих пор могут находиться необнаруженные баги (ошибки), в связи с чем Trend Micro необходимо провести полный аудит безопасности своего Password Manager. 

Дмитрий Евдокимов