13-01-2016, 07:37
<t>Un chercheur en sécurité de Google, Tavis Ormandy, a tiré la sonnette d'alarme après avoir trouvé plusieurs failles dans le gestionnaire de mots de passe de Trend Micro, Password Manager. Ces dernières peuvent permettre à une personne malintentionnée d'exécuter du code à distance et de voler les mots de passe des utilisateurs stockés dans ce logiciel. L'éditeur japonais a confirmé ces problèmes et propose une mise à jour automatique pour les résoudre. Mais ce n'est pas la première fois que Tavis Ormandy alerte l'éditeur sur l'existence de telles failles de sécurité.<br/>
<br/>
Les utilisateurs des solutions antivirus de Trend Micro peuvent choisir d'utiliser le gestionnaire de mots de passe Password Manager pour exporter dedans l'ensemble de leurs mots de passe et de n'avoir plus qu'un mot de passe maître à retenir et utiliser. Les concurrents Dashlane ou LastPass proposent des services similaires. Ce gestionnaire est écrit en Javascript avec node.js et ouvre de multiples ports HTTP RPC pour des requêtes API, a précisé Tavis Ormandy. En 30 secondes, le chercheur indique avoir trouvé une requête API permettant d'accepter du code distant et également qu'une autre lui a permis d'accéder aux mots de passe stockés dans le gestionnaire. Cerise sur le gâteau, M. Ormandy a trouvé que plus de 70 API de Trend Micro étaient exposées et a recommandé - non sans humour - à l'éditeur de recruter un constant externe pour auditer son code.<br/>
<br/>
Les logiciels antivirus tournent avec un haut niveau de privilège sur les systèmes d'exploitation, ce qui signifie que l'exploitation d'une vulnérabilité peut donner à un attaquant un accès profond à un ordinateur.</t>
<br/>
Les utilisateurs des solutions antivirus de Trend Micro peuvent choisir d'utiliser le gestionnaire de mots de passe Password Manager pour exporter dedans l'ensemble de leurs mots de passe et de n'avoir plus qu'un mot de passe maître à retenir et utiliser. Les concurrents Dashlane ou LastPass proposent des services similaires. Ce gestionnaire est écrit en Javascript avec node.js et ouvre de multiples ports HTTP RPC pour des requêtes API, a précisé Tavis Ormandy. En 30 secondes, le chercheur indique avoir trouvé une requête API permettant d'accepter du code distant et également qu'une autre lui a permis d'accéder aux mots de passe stockés dans le gestionnaire. Cerise sur le gâteau, M. Ormandy a trouvé que plus de 70 API de Trend Micro étaient exposées et a recommandé - non sans humour - à l'éditeur de recruter un constant externe pour auditer son code.<br/>
<br/>
Les logiciels antivirus tournent avec un haut niveau de privilège sur les systèmes d'exploitation, ce qui signifie que l'exploitation d'une vulnérabilité peut donner à un attaquant un accès profond à un ordinateur.</t>
<r><SHADOW shadow="black"><s>[shadow=black]</s>Règle n°1: Je suis partout<e>[/shadow]</e></SHADOW><br/>
<SHADOW shadow="black"><s>[shadow=black]</s>Règle n°2: Je vois tout<e>[/shadow]</e></SHADOW><br/>
<SHADOW shadow="black"><s>[shadow=black]</s>Règle n°3: Je sais tout<e>[/shadow]</e></SHADOW><br/>
<B><s></s><GLOW glow="black"><s>[glow=black]</s>Je suis Horakle, je suis tout !<e>[/glow]</e></GLOW><e></e></B></r>
<SHADOW shadow="black"><s>[shadow=black]</s>Règle n°2: Je vois tout<e>[/shadow]</e></SHADOW><br/>
<SHADOW shadow="black"><s>[shadow=black]</s>Règle n°3: Je sais tout<e>[/shadow]</e></SHADOW><br/>
<B><s></s><GLOW glow="black"><s>[glow=black]</s>Je suis Horakle, je suis tout !<e>[/glow]</e></GLOW><e></e></B></r>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)