趋势网(微博｜微信)讯：这是一个令人头疼的问题。最近，谷歌代码的一个线程显示，趋势科技在系统默认地情况下，在用户电脑上安装了一个完全开放的node.js服务器，随后竟暴露了其安装杀毒软件的所有用户,使其受到严重攻击。

打假良品铺子博主称看完调查很寒心  百雀羚化妆品疑似涉嫌添加禁用原料  王宝强被举报涉嫌欺诈  

node.js服务器是趋势科技研发的一项用于密码管理的工具，它随公司的杀毒软件一起安装,并被设置成系统默认情况下，在电脑启动时会自动打开。

这项服务器通过发送一个JavaScript请求，在本地计算机上执行恶意应用程序，使得许多端口被迫公开，从而暴露进入任何网站的用户信息。这意味着，远程攻击者可以很容易地下载代码，并在受害者的机器上进行蓄意破坏。

这确实是一件糟糕的不能再糟糕的事情。

趋势科技还在用户的证书存储里添加了一个已签名的安全证书,所以用户不会看到任何HTTPS（超文本传输协议安全）错误。

谷歌的零漏洞项目小组研究人员奥曼迪获悉这项消息后，在线程中写道,“这是无比荒谬的。”

奥曼迪发现，由于研究存在缺陷，攻击者可以窃取趋势科技的密码存储，并将其解密。对此他感到非常震惊，并告诉趋势科技公司,“我真的希望贵公司能清楚地意识到这件事的严峻性。”

随后他建议趋势科技禁用此项功能,从而保护用户的安全。

“在我看来,趋势科技应暂时禁用这项功能，并向用户做出道歉，然后聘请外部咨询公司来对代码进行审核。以我多年处理安全问题的经验来看,一旦发现一个问题,如果我们迅速行动并采取有效措施解决，用户也不会过于怪罪我们。而最糟糕的事情莫过于你在解决这项问题的同时还把用户暴露了。当然，这决定于公司的选择。”

最终，趋势科技并没有选择禁用这项工具，取而代之的是，在两天前对第一个漏洞进行紧急补丁。

这项问题首次暴露是在1月5日,但是直到今天都未得到解决，甚至只解决了一小部分，前景令人堪忧。

趋势科技的应对行动速度如此迟缓,奥曼迪对此深深担忧：“我都不知道该说什么。趋势科技怎么能在不经过安全顾问的审计下，就擅自在所有用户的机器上默认启用这项功能呢？”

趋势科技对用户暴露问题的进一步解决，我们只能静观其变了。