Social Buttons

LightBlog

Breaking

LightBlog

mardi 12 janvier 2016

passoire-trend-micro-corrige-son-gestionnaire-de-mots-de-passe-truffe-de-failles-critiques

Passoire : Trend Micro corrige son gestionnaire de mots de passe truffé de
failles critiques

Sécurité : L’équipe Google Zero a découvert plusieurs failles de
sécurité au sein de l'application proposée par la société de
cybersécurité Trend Micro. Les failles permettaient à un attaquant de
causer beaucoup de dégâts sur une machine ayant installé le
gestionnaire de mot de passe fourni par défaut avec l’antivirus.
Louis Adam

Par Louis Adam | Mardi 12 Janvier 2016

Tavis Ormandy continue sa croisade contre les éditeurs d’antivirus et
accroche aujourd’hui Trend Micro à son tableau de chasse. Le chercheur
alerte sur la présence de multiples ports HTTP RPC, utilisés pour
exécuter des requêtes d’API, laissés ouverts et accessibles par
d’éventuels attaquants dans l'outil de gestion des mots de passe
proposé par défaut aux utilisateurs de l'antivirus Trend Micro.

Celui-ci explique dans son bug report avoir mis moins de 30 secondes
avant de trouver un port capable d’envoyer des données dans un terminal
de commande, et donc d’exécuter du code malveillant sur la machine de
la cible.

Le port en question étant un port HTTP, ce type d’attaque est donc
envisageable à distance, simplement via la visite d’un site web
contenant du code exploitant cette faille de sécurité.

En cherchant un peu plus loin, Tavis Ormandy a également découvert
d’autres failles dans le code de l’application permettant à un
utilisateur de dérober les mots de passes stockées au sein du
gestionnaire, et ce même si les mots de passe ont été chiffrés par
l’utilisateur. Le chercheur explique également qu’environ 70 API sont
publiquement accessibles grâce au programme, ce qui ouvre la voie à de
possibles nouvelles failles de sécurité.

Tavis Ormandy contre le reste du monde

Ces différentes failles de sécurité ont été comblées par Trend Micro,
ce qui permet à Tavis Ormandy de publiquement révéler [44]les détails
des vulnérabilités en question ainsi que les échanges de mails avec les
équipes de Trend Micro. Dans ces derniers, on peut voir un Tavis
Ormandy particulièrement remonté face aux failles laissées par les
développeurs du gestionnaire de mot de passe. Il conseille notamment à
Trend Micro de mettre en place un audit mené par un consultant externe
afin de s’assurer de la fiabilité des outils qu’ils proposent par
défaut à leurs utilisateurs.

Dear [45]@trendmicro, wtf were you thinking? This bug is completely
Source .... : http://www.zdnet.fr/actualites/passoire-trend-micro-corrige-son-gestionnaire-de-mots-de-passe-truffe-de-failles-critiques-39831060.htm#xtor=RSS-1
--------------------------

To view more updates, pictures, videos and other media files please visit and like our Facebook Page: https://www.facebook.com/startdaysdontcom/

Twitter : https://twitter.com/startdaysdotcom
----------------------------------------
welcome to Best blogs
----------------------------------------
http://facebook2010.blogspot.com .::. http://bestnews2o16.blogspot.com/
http://soft-pedia2010.blogspot.com .::. http://journaldunet-2010.blogspot.com
http://lasts-tweets.blogspot.com .::. http://news-2010.blogspot.com
http://orange-tunisie.blogspot.com http://welcome20016.blogspot.com/
http://debtadviceservice.blogspot.com/ http://journaldunet-2010.blogspot.com/
http://tax-los-angeles.blogspot.com/ http://soft-pedia2010.blogspot.fr/
http://austin-dwi-2010.blogspot.com/ http://news-2010.blogspot.com/
http://h1n1-2010.blogspot.com/ http://journaldunet-2010.blogspot.com/
http://greencard2010.blogspot.com/ http://football-il.blogspot.com/
http://tigretunisie.blogspot.com/ http://truman-support.blogspot.com/
http://topsclickbank.blogspot.com/ http://softcam-keys.blogspot.com/
http://clickbankdot.blogspot.com/ http://truman-support.blogspot.com/
http://tigretunisie.blogspot.com/ http://tigretunisie.blogspot.com/
http://news-2010.blogspot.com/ http://bestnews2o16.blogspot.com/

Aucun commentaire:

Enregistrer un commentaire

Nombre total de pages vues

Adbox