趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:最近,谷歌代码的一个线程显示,趋势科技在系统默认地情况下,在用户电脑上安装了一个完全开放的node . js服务器,随后竟暴露了其安装杀毒软件的所有用户,使其受到严重攻击。趋势科技应对行动速度迟缓,谷歌相关研究人员对此表示深深担忧。
被开除护士遭举报开房聊天记录曝光
网友:什么叫可能是,又不说清楚,判案能用可能这种字眼吗。
2名中国公民在委内瑞拉地震中遇难
网友:看到这种新闻心里真不是滋味,出门在外不容易,愿逝者安息。
5岁女孩每天抱小兔子致永久性脱发
网友:这种新闻可千万不要被不支持养宠的父母刷到。
女儿称是生父强奸所生拒付赡养费
网友:不抚养也能让赡养?可不可以先让支付抚养费,然后用抚养费抵赡养费。
女子花6万装爬楼机给全楼用遭抵制
网友:确实太窄了,安全隐患非常大。
女子暴雨躲文旅局门口遭保安驱赶
网友:规矩的初衷是规范秩序,不是冷漠地隔绝群众。

趋势网(微博微信)讯:这是一个令人头疼的问题。最近,谷歌代码的一个线程显示,趋势科技在系统默认地情况下,在用户电脑上安装了一个完全开放的node.js服务器,随后竟暴露了其安装杀毒软件的所有用户,使其受到严重攻击。

,谷歌,趋势科技暴露用户,谷歌研员无言以对

广西横州因灾4死8失联  香港黑帮头目垄断工地盒饭年赚千万  阿里通知全员卸载Claude  

node.js服务器是趋势科技研发的一项用于密码管理的工具,它随公司的杀毒软件一起安装,并被设置成系统默认情况下,在电脑启动时会自动打开。

这项服务器通过发送一个JavaScript请求,在本地计算机上执行恶意应用程序,使得许多端口被迫公开,从而暴露进入任何网站的用户信息。这意味着,远程攻击者可以很容易地下载代码,并在受害者的机器上进行蓄意破坏。

这确实是一件糟糕的不能再糟糕的事情。

趋势科技还在用户的证书存储里添加了一个已签名的安全证书,所以用户不会看到任何HTTPS(超文本传输协议安全)错误。

,谷歌,趋势科技暴露用户,谷歌研员无言以对

谷歌的零漏洞项目小组研究人员奥曼迪获悉这项消息后,在线程中写道,“这是无比荒谬的。”

奥曼迪发现,由于研究存在缺陷,攻击者可以窃取趋势科技的密码存储,并将其解密。对此他感到非常震惊,并告诉趋势科技公司,“我真的希望贵公司能清楚地意识到这件事的严峻性。”

随后他建议趋势科技禁用此项功能,从而保护用户的安全。

“在我看来,趋势科技应暂时禁用这项功能,并向用户做出道歉,然后聘请外部咨询公司来对代码进行审核。以我多年处理安全问题的经验来看,一旦发现一个问题,如果我们迅速行动并采取有效措施解决,用户也不会过于怪罪我们。而最糟糕的事情莫过于你在解决这项问题的同时还把用户暴露了。当然,这决定于公司的选择。”

,谷歌,趋势科技暴露用户,谷歌研员无言以对

最终,趋势科技并没有选择禁用这项工具,取而代之的是,在两天前对第一个漏洞进行紧急补丁。

这项问题首次暴露是在1月5日,但是直到今天都未得到解决,甚至只解决了一小部分,前景令人堪忧。

趋势科技的应对行动速度如此迟缓,奥曼迪对此深深担忧:“我都不知道该说什么。趋势科技怎么能在不经过安全顾问的审计下,就擅自在所有用户的机器上默认启用这项功能呢?”

趋势科技对用户暴露问题的进一步解决,我们只能静观其变了。

1 2 下一页
滴露消毒液广告被指物化女性
网友:一个广告从开始的创意到最后落地实施,要经过那么多人,大家都没有觉得有任何的问题吗?这个团队这么神奇,这么统一吗?
30岁女警为救跳楼轻生者牺牲
网友:为他人利益牺牲自己的人,总是令人心生钦佩的。
女子清吧被陌生人投放伟哥
网友:不能只听一方说辞。
董明珠喊话股东不用格力凭什么分红
网友:演给消费者看的。
特朗普加剧与意大利总理梅洛尼争端
网友:‌他每一天都在让美国颜面尽失。
投资600万加油站建成即被责令拆除
网友:肯定是以自然资源局的认定为准,乡镇是没有这个权利的。
  感谢各大网址导航推荐本站: