सुरक्षा उत्पाद कितने सुरक्षित हैं? पहले एवीजी, अब प्रमुख खामियों के साथ ट्रेंडमाइक्रो

• श्रेणी: सुरक्षा

समस्याओं को खत्म करने के लिए हमारे साधन का प्रयास करें

ऑपरेटिंग सिस्टम का चयन करें Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro प्रक्षेपण का एक कार्यक्रम चुनें (वैकल्पिक रूप से) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

अपनी समस्या का वर्णन करें

उत्तर पाएं

मुझे ईमेल द्वारा भेजें साइट पर दिखाओ

Google के शोधकर्ता तवीस ओरमंडी ने हाल ही में विंडोज के लिए ट्रेंडमाइक्रो एंटीवायरस के पासवर्ड मैनेजर घटक में एक बड़ी खामी की खोज की, जिसमें कई प्रमुख सुरक्षा मुद्दे थे, जो अन्य चीजों के अलावा, वेबसाइटों को मनमाना आदेश चलाने, सभी संग्रहीत पासवर्डों को उजागर करने, या एक सुरक्षित ब्राउज़र चलाने की अनुमति देते थे। 'यह बिल्कुल भी सुरक्षित नहीं है।

ऐसा लगता है कि Google वर्तमान में विंडोज पर सुरक्षा उत्पादों की जांच कर रहा है, और विशेष रूप से वे जो क्रोम वेब ब्राउज़र या क्रोमियम के साथ एक या दूसरे तरीके से संपर्क करते हैं।

कंपनी ने एवीजी को खुलेआम शर्मसार किया क्रोम के लिए अपने वेब ट्यूनप एक्सटेंशन के लिए जनवरी की शुरुआत में सुरक्षा खामियों के रूप में 9 मिलियन क्रोम उपयोगकर्ताओं को रखा गया था जो इसे जोखिम में डालते हैं।

AVG सुरक्षा सॉफ़्टवेयर के साथ या अलग से इंस्टॉल किए गए TuneUp ने क्रोम उपयोगकर्ताओं को उन Chrome उपयोगकर्ताओं के लिए 'वेब सुरक्षा' अक्षम करके जोखिम में डाल दिया जिन्होंने एक्सटेंशन स्थापित किया था।

एवीजी ने अंततः एक निश्चित उत्पादन किया (इसके लिए दो प्रयासों की आवश्यकता थी, पहला खारिज कर दिया गया क्योंकि यह पर्याप्त नहीं था)।

TrendMicro पासवर्ड प्रबंधक सुरक्षा समस्या

और अब यह ट्रेंड माइक्रो है जो Google द्वारा खुलेआम शर्मसार किया जाता है। ओरमंडी के अनुसार, पासवर्ड मैनेजर घटक इस समय अपराधी है जो कि विंडोज के लिए ट्रेंडमाइक्रो एंटीवायरस के साथ स्वचालित रूप से स्थापित होता है और स्टार्ट पर चलता है ( और भी उपलब्ध है एक स्टैंडअलोन प्रोग्राम और ऐप के रूप में)।

यह उत्पाद मुख्य रूप से जावास्क्रिप्ट में नोड.जेएस के साथ लिखा गया है, और एपीआई अनुरोधों को संभालने के लिए कई HTTP आरपीसी पोर्ट खोलता है।

किसी एक को हाजिर करने में लगभग 30 सेकंड का समय लगा जो कि मनमाने ढंग से कमांड निष्पादन, ओपनयूएलइन्डेफॉल्टब्रोसर को अनुमति देता है, जो अंततः शेलएक्सक्यूट () में मैप होता है।

इसका मतलब है कि कोई भी वेबसाइट मनमानी कमांड लॉन्च कर सकती है [..]

TrendMicro Ormandy के एक कर्मचारी के जवाब में निम्नलिखित जानकारी जोड़ी गई:

अरे, बस जाँच करना चाहता था कि क्या यहाँ कोई अपडेट है? यह डिफ़ॉल्ट रूप से तुच्छ रूप से शोषक और खोज योग्य है, और स्पष्ट रूप से चिंताजनक है - मेरी राय में, आप लोगों को यह तय करने के लिए तैयार होना चाहिए।

FWIW, यह MOTW को बायपास करने के लिए भी संभव है, और बिना किसी संकेत के आदेशों को स्पॉन करें। ऐसा करने का एक आसान तरीका (विंडोज 7 पर परीक्षण किया गया), एक ज़िप फ़ाइल को एचटीए फ़ाइल से ऑटो-डाउनलोड करना होगा, और फिर इसे लागू करना [..]

पहली बिल्ड कि ट्रेंडमेइक्रो ने सत्यापन के लिए ट्रैविस ओरमंडी को भेजा, कार्यक्रम के प्रमुख मुद्दों में से एक (शेलएक्सक्यूट का उपयोग) तय किया, लेकिन कोड की किसी न किसी परीक्षा के दौरान स्पॉट किए गए अन्य मुद्दों का ध्यान नहीं रखा।

ऑरमैंडी ने उदाहरण के लिए उल्लेख किया कि ट्रेंडमाइक्रो द्वारा उपयोग किए गए एपीआई में से एक क्रोमियम का एक प्राचीन 'बिल्ड' (ब्राउज़र का संस्करण 41 जो अब संस्करण 49 के रूप में उपलब्ध है) का निर्माण किया गया है और यह 'की पेशकश करने के लिए उस के ऊपर ब्राउज़र के सैंडबॉक्स को निष्क्रिय कर देगा। सुरक्षित ब्राउज़र 'अपने उपयोगकर्ताओं के लिए।

TrendMicro के लिए उनका जवाब कुंद था:

आप केवल वैश्विक ऑब्जेक्ट्स छिपा रहे थे और ब्राउज़र शेल खोल रहे थे ...? ... और फिर इसे 'सिक्योर ब्राउजर' कहा जा रहा है? तथ्य यह है कि आप एक पुराने संस्करण को भी चलने योग्य-सैंडबॉक्स के साथ चलाते हैं, बस चोट के लिए अपमान जोड़ता है।

मैं यह भी नहीं जानता कि क्या कहना है - आप सक्षम सुरक्षा सलाहकार से ऑडिट प्राप्त किए बिना अपने सभी ग्राहक मशीनों पर * डिफ़ॉल्ट रूप से * इस बात को कैसे सक्षम कर सकते हैं?

अंतिम लेकिन कम से कम नहीं, ऑरमंडी ने पाया कि प्रोग्राम ने 'पासवर्ड मैनेजर में संग्रहीत पासवर्ड तक पहुँचने के लिए एक अच्छा स्वच्छ एपीआई' की पेशकश की है, और यह कि कोई भी केवल सभी संग्रहीत पासवर्ड पढ़ता है '।

उपयोगकर्ताओं को अपने ब्राउज़र पासवर्ड निर्यात करने के लिए इंस्टॉलेशन पर संकेत दिया जाता है, लेकिन यह वैकल्पिक है। मुझे लगता है कि एक हमलावर इसे / ExportBrowserPasswords API के साथ बाध्य कर सकता है, इसलिए यह भी मदद नहीं करता है। मैंने इसे इंगित करते हुए एक ईमेल भेजा:

मेरी राय में, आपको उपयोगकर्ताओं के लिए इस सुविधा को अस्थायी रूप से अक्षम करना चाहिए और अस्थायी व्यवधान के लिए माफी माँगनी चाहिए, फिर कोड को ऑडिट करने के लिए एक बाहरी परामर्श दें। सुरक्षा विक्रेताओं के साथ काम करने के मेरे अनुभव में, उपयोगकर्ता गलतियों को काफी क्षमा कर रहे हैं यदि विक्रेताओं ने किसी समस्या के बारे में सूचित करने के बाद विक्रेताओं को उनकी रक्षा करने के लिए जल्दी से कार्य किया, तो मुझे लगता है कि आप सबसे खराब बात यह है कि उपयोगकर्ताओं को इस बात को साफ करते समय उजागर कर सकते हैं। पसंद आपकी है, बिल्कुल।

प्रतीत होता है कि यह मुद्दा ट्रेंडमाइक्रो के प्रयासों और पिछले कुछ दिनों में निर्मित कंपनी के कई पैच के बावजूद लिखने के समय पूरी तरह से तय नहीं किया गया है।

सुरक्षा सॉफ्टवेयर स्वाभाविक रूप से असुरक्षित?

इससे निकलने वाला मुख्य प्रश्न 'सुरक्षा उत्पाद कितने सुरक्षित हैं'? एंटीवायरस क्षेत्र में प्रमुख खिलाड़ियों द्वारा दो उत्पादों में दो प्रमुख मुद्दे चिंता का कारण हैं, खासकर जब से एक मौका है कि वे एकमात्र ऐसे व्यक्ति नहीं हैं जो अपने स्वयं के उत्पादों को ठीक से प्राप्त नहीं करते हैं।

अंतिम उपयोगकर्ताओं के लिए, यह बताना असंभव है कि कुछ गलत है जो उन्हें अनिश्चित स्थिति में छोड़ देता है। क्या वे अपने डेटा को सुरक्षित रखने के लिए अपने सुरक्षा समाधान पर भरोसा कर सकते हैं, या क्या यह बहुत ही सॉफ्टवेयर है जो अपने कंप्यूटरों को सुरक्षित करना चाहिए जो इसे जोखिम में डाल रहे हैं?