鹏翎股份（300155）300155

IT之家讯来自谷歌的安全研究员TavisOrmandy最近很忙。几周之前，他发现了AVG杀软扩展程序能够绕过Chrome商铺中的检查机制，主动安装到用户的Chrome浏览器中，而且这个扩展还会走漏用户隐私。现在这位研究员又发现了趋势科技杀软暗码办理器会走漏暗码，而且为潜在的恶意代码进犯供给方便。

存在问题的“暗码办理器”东西被绑定在了TrendMicroSecurity10杀软中，相关用户很简单受影响。别的这一东西也供给独自下载。这位谷歌研究员以为，这款东西在安全规划上存在缺失，进犯者可使用如下方法进行长途代码履行进犯：

?该产品选用JavaScript结合node.js编写，翻开多个HTTPRPC端口来掌控API恳求。它将需求大约30秒的时刻来答应恣意一个指令履行，openUrlInDefaultBrowser，终究映射到ShellExecute。

?以下为示例：

x=newXMLHttpRequest

x.open("GET","localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exetrue);try{x.send;}catch(e){};

在Ormandy向趋势科技通报这个问题两天后，他再次与该公司联络，称其间存储的一切暗码都现已走漏，而且批判该公司缺少必要的安全办理办法，这种“初级过错”不应犯。这种问题意味着网上的任何人都能够使用这种方法“静、净”地盗取用户的一切暗码，用户有必要提起留意。

现在趋势科技现已对该问题进行了修正，相关用户应该及时组织软件晋级，消除该缝隙。（Source：Google）

微信查找“IT之家”重视抢6s大礼！下载IT之家客户端（戳这儿）也可参加谈论抽楼层大奖！