В менеджере паролей от Trend Micro найдена уязвимость

В свободное от работы над своими проектами время инженеры компании Google любят искать ошибки в программных продуктах других производителей. В новостях уже много раз отмечался своими открытиями Тавис Орманди; в частности, он ранее нашёл уязвимость в расширении AVG для браузера Chrome, а теперь обнаружил проблемы в другом приложении, от Trend Micro.

Речь идёт о Trend Micro Password Manager, который автоматически устанавливается в систему Windows вместе с основным антивирусным сканером Trend Micro Security 10, а также доступен для скачивания отдельно. Программа позволяет злоумышленникам выполнять команды в системе и запускать программы; кроме того, могут попасть в чужие руки все сохраняемые пользователями пароли.

Компания использовала устаревший API со старой сборкой движка Chromium для браузера Chrome. Современной версией является 49, однако в данном случае используется 41 от января 2015 года. В результате программа может выйти за пределы «песочницы», где она защищена от атак. В качестве доказательства специалист Google запустил приложение Калькулятор, однако при атаках могут быть запущены более серьёзные приложения и процессы.

Это открытие подтверждает замеченную ранее тенденцию, что выпускающие продукты для безопасности компьютеров компании зачастую подвергают их ещё большему риску, что происходит незаметно для пользователей. Trend Micro уже выпустила закрывающий уязвимость патч.