Lücke in Password Manager von Trend Micro erlaubte Passwortdiebstahl

12. Jänner 2016, 13:16
6 Postings

Ausführung von Schadcode möglich – Update bereits veröffentlicht

Im Password Manager des Sicherheitssoftware-Herstellers Trend Micro wurde eine schwere Sicherheitslücke gefunden. Laut Tavis Ormandy von Googles Projekt Zero ist es dadurch möglich, schädlichen Code auf einem Computer auszuführen und auf gespeicherte Passwörter zuzugreifen. Inzwischen hat Trend Micro ein Update veröffentlicht, das die Lücke schließt. Laut dem Google-Forscher ist das Tool aber immer noch nicht komplett sicher.

Offen für Schadcode und Passwortdiebstahl

Mit dem Manager können Nutzer Passwörter abspeichern, ohne sie sich selbst merken zu müssen. Er wird gemeinsam mit der Software AntiVirus des japanischen Herstellers installiert und nach dem Hochfahren des PCs automatisch gestartet.

Das Tool basiert laut Ormandy auf JavaScript und node.js und öffnet mehrere Ports für Schnittstellen (API)-Anfragen. Er habe lediglich 30 Sekunden benötigt um eine API zu finden, über die er beliebige Befehle ausführen konnte. Außerdem habe er entdeckt, dass die gespeicherten Passwörter von außen auslesbar sind. Allerdings handelt es sich dabei um verschlüsselte Passwörter.

Weitere Kritik

Ormandy informierte Trend Micro von der Sicherheitslücke am 5. Jänner. Nach Veröffentlichung des Patches stellte der Sicherheitsforscher den E-Mail-Wechsel mit Trend Micro ins Netz. Darin kritisiert er, dass das Tool seiner Ansicht weiterhin nicht sicher sei. Noch immer seien 70 APIs aus dem Netz erreichbar. Er rät Trend Micro einen unabhängigen Sicherheitsexperten zu engagieren, der sich das Problem ansieht. (br, 12.1.2016)

  • Im Password Manager von Trend Micro wurde eine schwere Sicherheitslücke gefunden.
    foto: reuters/pawel kopczynski

    Im Password Manager von Trend Micro wurde eine schwere Sicherheitslücke gefunden.

Share if you care.