![[Frissítve] Megdöbbentő hibák a Trend Micro egyes termékeiben kép](https://i.cdn29.hu/apix_collect_c/primary/1601/trend_micro_20160112_202704_original_760x425_cover.jpg)
Olvasóink néhány hete már találkozhattak Tavis Ormandy nevével, a férfi a Google egyik ismert biztonsági kutatója. Úgy tűnik újabban a biztonsági szoftverekre állt rá, ugyanis az AVG többé-kevésbé opcionális böngésző-eszköztárának sárba tiprása után a Trend Micro Premium Security és Maximum Security biztonsági csomagokról szedte le a keresztvizet.
A kérdéses szoftverek beépített jelszókezelővel is rendelkeznek, a reklámszöveg szerint a népszerű böngészőkben automatikus űrlapkitöltést is nyújtó modulra nyugodtan rábízhatóak a jelszavak. Ormandy megállapítása alapján ez nem felelt meg a valóságnak, ugyanis bármely a felhasználó által meglátogatott weblap képes volt teljes csendben kilopni a mentett jelszavakat a tárolóból, plusz a termékek távoli kódfuttatásra is lehetőséget adtak.
A Trend Micro mostanra az Ormandy által felfedezett súlyos hibát befoltozta, így a fent említett szoftverek felhasználóinak érdemes manuálisan ellenőrizniük, hogy a legfrissebb verziót használják-e.
Frissítés: a Trend Micro kiadott egy közleményt az ügy kapcsán, alább olvasható a releváns része.
2016. január 11-én kötelező érvényű frissítést bocsátottunk ki a Trend Micro ActiveUpdate szolgáltatásán keresztül, amely kijavítja a sérülékenységet: ezt minden felhasználónak telepítenie kell. Fontos tudni, hogy a Trend Micro Password Manager esetében az ActiveUpdate frissítéseket nem lehet kikapcsolni, ami azt jelenti, hogy a Trend Micro Password Manager minden jelenlegi felhasználója automatikusan megkapja az ActiveUpdate frissítéseket. A jelentett, kritikus sérülékenység gyakorlatilag a Trend Micro Password Manager régi, ma már nem elérhető verzióját érinti.
Hozzátartozik a történethez, hogy Tavis Ormandy, az ismert és elismert információbiztonsági kutató kapcsolatba lépett velünk, és jelentette a problémát Trend Micro Product Vulnerability Response csapatunknak. A Trend Micro az évek során bejáratott, hatékony folyamatot dolgozott ki a sérülékenységek javítására, és ezt a jelentést is e folyamaton belül kezeltük.
Gyorsan reagáltunk az elsődleges jelentésre, és az egész folyamat során együttműködtünk Tavisszal, hogy megértsük és orvosoljuk a problémát. Felelősségteljes munkájának és együttműködésének köszönhető, hogy a legkritikusabb problémákat kevesebb mint egy hét alatt kezelhettük. Nincs tudomásunk róla, hogy ez idő alatt bárkit a sérülékenységet kihasználó támadás ért volna.
(Forrás: ExtremeTech, TechPowerUp | Nyitókép: Kotis Design)
