(更新)趨勢密碼管理出漏洞,讓你的密碼一覽無遺

如果你在電腦上安裝了趨勢科技的防毒軟體,請注意,你的電腦只要瀏覽網頁,就可能感染惡意軟體或被遠端操控,趨勢科技已經發布了緊急修補軟體,以防止駭客遙控你的電腦或透過防毒軟體內建的密碼管理軟體存取用戶密碼。
評論
評論

1/15 更新:趨勢科技已經已經發布了緊急修補軟體,以防止駭客遙控你的電腦或透過防毒軟體內建的密碼管理軟體存取用戶密碼。他們詳盡的修復過程與說明如下:

密碼管理通是趨勢科技的產品之一,趨勢科技 PC-cillin 也內建密碼管理通的功能選項,但用戶必須「手動」啟用才能夠使用此功能,因此並非每個用戶都會受到影響。

趨勢科技透過產品通報標準程序一知悉 Google Project Zero 小組的研究人員 Tavis Ormandy 回報了有關趨勢科技消費型產品「密碼管理通」的潛在弱點後,趨勢科技立即進行了解與處理,釋出修補程式用以修正此弱點並進行伺服器更新;並於 2016 年 1 月 11 日自動推送給所有趨勢科技密碼管理通客戶。也就是 1 月 11 日當客戶收到通知時,使用者的電腦連網後密碼管理通就開始自動更新。此外,目前也與 Tavis 配合,針對安全建議持續強化產品的安全設計。

趨勢科技密碼管理通採用自行簽署的安全憑證,其主要目的是為確保產品服務和瀏覽器之間溝通的安全性和便利性;不僅如此,為了更提升安全性,密碼管理通內儲存的密碼和關鍵資料,更經過 AES-256 機制進行嚴格加密,避免密碼資料外洩的可能性。而趨勢科技也持續不斷加強提升產品的安全性

 

如果你在電腦上安裝了趨勢科技的密碼管理通,請注意,你的電腦只要瀏覽網頁,就可能感染惡意軟體或被遠端操控。

用網頁就能駭進你的電腦

Google 的 Project Zero 安全研究員 Tavis Ormandy 發現 ,在趨勢防毒套裝內的密碼管理程式有瑕疵,能讓駭客遙控並輕易竊取你的密碼。

技術上來說,在防毒軟體套裝中的密碼管理程式,每次開啟時會先在本地電腦建立 Node.js 伺服器,Ormandy 發現 Node.js 伺服器留下了一堆 HTTP PRC 匣道,用來處理外部的 API 請求,而且在 http://localhost:49155/api/ 就找得到。駭客可以製作惡意連結,讓用戶點了以後就能在控制你的電腦,不用再另外經過用戶同意。

根據 The Hacker News 報導,在你不知情的時候,攻擊者能在你的電腦上遠端載入並執行惡意程式碼。

除此之外,Ormandy 還發現這個帳號管理程式透過同一個 Node.js 伺服器,曝露了超過 70 個 API。

趨勢使用自己簽署的 SSL 憑證

另外,和聯想的 Superfish 以及戴爾的 eDellRoot 一樣,趨勢也加入了自行簽署的安全憑證,好讓用戶不會看見 HTTPS 錯誤訊息。

Ormandy 表示,「這太離譜了。」

Ormandy 已將問題回報給趨勢團隊,並協助他們建立修補程式,建議趨勢防毒軟體的使用者儘速更新。

 

歡迎加入「Inside」Line 官方帳號,關注最新創業、科技、網路、工作訊息

好友人數

博弘雲端二度蟬聯 HR Asia 最佳雇主獎!打造公開透明職場環境,追求有意義的夥伴關係

台灣雲端服務領導品牌博弘雲端科技 Nextlink 二度榮獲「亞洲最佳企業雇主獎」,其職場透明、重視人才資本、積極培育人才是獲獎關鍵。而如此向心凝聚的企業,營收也不斷創高,更預計在今年第四季將營運版圖拓展至東南亞,成立暨香港、上海後的海外第三據點。
評論
Photo Credit:博弘雲端科技
評論

台灣雲端服務領導品牌博弘雲端科技 Nextlink,從 330 家企業中脫穎而出,二度榮獲由《HR Asia》所頒發的「亞洲最佳企業雇主獎」。博弘雲端科技總經理何冠生表示:「博弘雲端創立以來即以透明誠信為經營理念,我們非常重視每一位員工,並積極與同仁經營有意義的夥伴關係,很榮幸再次獲得 HR Asia 的肯定,非常感謝每位同仁的用心與努力,博弘也將持續提供優質的工作環境。」

2022「亞洲最佳企業雇主獎」共吸引了亞洲各國共 330 間企業報名,其中僅有 90 間企業獲得此殊榮,而博弘雲端科技在評鑑三大指標「企業核心文化」、「員工自我意識」、「團隊溝通協作」,各項分數上皆高於產業平均值;其中「企業核心文化」及「員工自我意識」部分更高於產業平均分數 20% 以上,顯見員工對於博弘核心精神的肯定與認同。

Photo Credit:博弘雲端科技
博弘雲端科技二度蟬聯 HR Asia 亞洲最佳企業雇主獎。

打造透明職場,讓員工了解自己對公司的價值

從創立至今博弘以「誠信」、「極度透明」與「追求有意義的合作成果與關係」作為經營理念,對外以誠信服務客戶,為客戶爭取最佳利益;對內則鼓勵塑造公開透明的組織環境,給予同仁積極參與公司營運與決策的平台。藉由每月舉行月會,透明化公司營運及發展,博弘相信公開企業經營可讓員工了解公司的規劃,並認識自身對於公司的價值,進而達到與公司共同成長、一同前進的目的。何冠生表示:「我們希望員工間不只是把彼此當成同事,而是能成為共同追求有意義成果的夥伴。」

重視人才資本,積極培訓雲端產業人才

博弘相信「人才」是公司最重要的資本,除了對內積極傾聽員工聲音,並且提供員工專業技能訓練與原廠訓練外;對外也持續為業界培養雲端產業人才,舉辦「Bootcamp program」培訓課程,提供結構式培訓計畫。課程中除了安排公司內部資深講師開課教學,以及學長姊實習制度外,更安排 Amazon、Google 等原廠專業講師授課,讓全無經驗的新鮮人能從零到有學習雲端產業知識,為培養產業人才貢獻一己之力。

追求平衡生活,鼓勵員工參與公益與運動

除了員工自身與公司的成長外,博弘雲端科技亦重視家庭關係與平衡生活,鼓勵員工追求工作與生活平衡,特別規劃家庭日及 Meaningful Day 有薪假,其中家庭日更可申請津貼,鼓勵員工在休假期間與家人共享時光;也期透由 Meaningful Day 鼓勵同仁參與公益活動及各項運動,樂於工作生活中。

Photo Credit:博弘雲端科技
博弘雲端科技不定時舉辦員工活動凝聚團隊向心力。

立足台灣放眼亞太,Q4 啟動海外第三據點

公司成員的肯定也帶動了公司營運表現,因疫情所帶動的數位化浪潮正盛,博弘自 2020 年開始,營收表現不斷創新高,2022 上半年的業績較去年疫情爆發時更成長了 64%。何冠生表示:「看好後疫情時代企業對於數位及上雲需求的持續增長,我們 Q4 預計將營運版圖拓展至東南亞,成立暨香港、上海後的海外第三據點。」希望以博弘堅強的技術團隊與多年客戶服務經驗,提供亞太區企業更全面的雲端服務體驗。

本文章內容由「博弘雲端科技」提供,經關鍵評論網媒體集團廣編企劃編審。