Genelde bir anti-virüs programı yüklediğinizde, daha güvenli ortamlar adına bazı yan uygulamaların da tavsiye edildiğini veya otomatik olarak kurulduğuna şahit olmuşsunuzdur. Trend Micro'nun ana uygulamasının yanında otomatik olarak kurulumunu yaptığı şifre yöneticisi, büyük bir açık barındırıyor.
Google'ın güvenlik mühendislerinin düzenli olarak yaptığı testlere, geçen hafta Trend Micro konuk oldu ve yazılımın yanında gelen tarayıcı tabanlı şifre yöneticisi sınıfta kaldı. Daha önce de AVG gibi platformlarda açık bulan Tavis Ormandy, şifre yöneticisi içerisinde bulduğu açık üzerinden komutlar çalıştırmayı ve depolanmış şifreleri okumayı başardı.
Şifre yöneticisinde bulunan eski bir API, çalışırken daha eski bir Chromium sürümünü ortaya çıkarıyor. Eski Chromium sürümü de, yöneticiyi izinsiz erişimlere kapatılan sandbox alanının dışına atıyor. Sonrasında ise yönetici içerisinde uzaktan kodlar çalıştırmak ve şifreleri sadece okunur tarzda görebilmek mümkün oluyor. Ormandy, şifre yöneticisinin içerisinde bir hesap makinesi çalıştırmayı bile başarmış.
Ormandy, özellikle tüm müşteri bilgisayarlarında yasal bir danışmanın onayı olmadan varsayılan olarak bu yazılımın kurulmasını eleştiriyor. Trend Micro ise Ormandy ile birlikte çalışarak, en kısa sürede gerekli yamayı yayınlayacağının sözünü verdi.
Bu haberi, mobil uygulamamızı kullanarak indirip,istediğiniz zaman (çevrim dışı bile) okuyabilirsiniz:
Bana çok korkutucu geliyor bunlar.