Tavis Ormandy a encore frappé et c'est à Trend Micro que cela fait mal. Après AVG, FireEye, Kaspersky Lab, Avast ou encore ESET, le hacker du projet Zero de Google a réprimandé Trend Micro à la suite de la mise au jour de plusieurs vulnérabilités de sécurité.

" N'importe quel internaute peut voler tous les mots de passe de manière totalement silencieuse, ainsi qu'exécuter du code arbitraire sans aucune interaction de la part de l'utilisateur. J'espère vraiment que la gravité de cette situation est claire pour vous parce que je suis étonné de tout cela "

, a écrit Tavis Ormandy dans un échange avec un employé du service clientèle de Trend Micro.

Le chercheur en sécurité émérite a pointé du doigt des failles dans le gestionnaire de mots de passe qui est présent par défaut lors de l'installation de Trend Micro Antivirus sur Windows et se lance automatiquement au démarrage.

Principalement écrit en JavaScript avec Node.js, ce composant ouvre plusieurs ports HTTP RPC pour le traitement de requêtes API. Tavis Ormandy assure qu'il n'a eu besoin que de 30 secondes pour en trouver une permettant l'exécution d'une commande arbitraire directement sur la machine et offrant un accès aux mots de passe stockés. N'importe quelle page Web piégée pouvait alors en faire autant. En tout, il a découvert que plus de 70 API étaient exposées.

Dans une réponse, Trend Micro indique que les vulnérabilités critiques rapportées ont été corrigées pour tous les utilisateurs de Trend Micro Password Manager via une mise à jour obligatoire diffusée le 11 janvier (par le biais de la technologie ActiveUpdate qui ne peut pas être désactivée).

Trend Micro souligne sa réaction rapide (moins d'une semaine pour la correction de la plupart des problèmes critiques) et son travail en collaboration avec Tavis Ormandy. Ce dernier n'a probablement pas fini de faire parler de lui.