Trend Microのパスワード管理ソフトにリモートから任意コード実行可能な脆弱性

headless 曰く、　Trend Microのパスワード管理ソフト「Password Manager」でリモートから任意のコードが実行可能な脆弱性が発見され、発見者のGoogle Security ResearchのTavis Ormandy氏から報告を受けたTrend Microが緊急アップデートを配布したそうだ（Google Security Research — Issue 693、Trend Microのブログ、Softpedia、Ars Technica、Register）。

　Password Managerは主にJavaScriptで書かれており、localhostでNode.jsを使ってHTTPサーバーを実行する。このコンポーネントは70近いAPIを公開しているが、最初に問題が見つかったのは「openUrlInDefaultBrowser」APIから「ShellExecute」が実行される点だ。そのため、Webサイト側がこのAPIを呼び出すことで、任意のコード実行が可能となる。さらに、localhost用の自己署名の証明書が信頼済みストアに追加されるため、セキュリティエラーなども発生しないという。

　Trend Microは修正済みビルドを作成してOrmandy氏に送ったが、任意コード実行可能なAPIは他にも見つかり、Password Managerが暗号化して保存しているすべてのパスワードをWebサイトが取得し、復号できることも判明した。Webブラウザが保存しているパスワードのPassword Managerへのエクスポートはオプションだが、攻撃者は「exportBrowserPasswords」APIを使用することで、ユーザーが実際にPassword Managerを使用していなくてもパスワードを取得できる可能性がある。

　指摘された問題は最終的にすべて修正され、緊急アップデートが自動更新で配布されているが、他にも問題が見つかる可能性もあるという。なお、Password Managerは単体で販売されているほか、米国では「Trend Micro Premium/Maximum Security 10」に同梱されているが、国内版の「ウイルスバスター クラウド 10」には同梱されておらず、別途提供のみとなっているようだ。

　スラドのコメントを読む | ITセクション | セキュリティ | バグ | インターネット | 暗号

　関連ストーリー：
セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性 2016年01月03日
Windowsのセキュリティ機能「EMET」、64ビット版Windowsでの32ビットプロセスに対しては不十分？ 2015年11月10日
OracleのCSO、ブログに「Oracle製品をリバースエンジニアリングするな」と投稿し炎上 2015年08月17日
HPのセキュリティプロジェクトチーム、IEの未修正脆弱性情報概要を公開 2015年07月28日