趋势科技杀毒软件被发现任意命令执行漏洞

越来越多的安全软件/杀毒软件被发现并不安全，它们反而成为新的安全隐患，趋势科技的杀毒软件是最新的一个例子。趋势科技的软件被发现存在严重安全问题，连发现者也感到荒谬：当用户安装Windows版的趋势科技杀软，默认安装的组件包括了一个密码管理器，安装后会自动启动，密码管理器用JavaScript开发，内置监听localhost的node.js HTTP服务器，会打开多个HTTP RPC端口处理API 请求， 它存在一个任意命令执行漏洞，也就是任何网站都可以在安装趋势科技的电脑上执行命令，比如运行计算器（https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe）。漏洞发现者说，趋势的软件会关闭Chromium 41的沙盒，然后侮辱性的在UserAgent中加入Secure Browser的标记。它的密码储存和解密也存在问题。趋势科技今天释出了更新，修正了发现的问题。