Trend Micro hat mich heute mehrmals vor RIOT geschützt™, weil er der festen Überzeugung war, da sei ein Virus drin. Update: wie sich herausstellt, handelt es sich um OpenCandy, so ein Browsertoolbarhomepageverdreherdingens. Das muss man zwar nicht mit installieren, aber Warnung wirkt wichtig. Egal, das Ding nutze ich privat ja eh nicht. Die eigentliche Meldung ist ja auch die hier:
Google-Forscher Tavis Ormandy deckt wieder einmal Schwachstellen in Anti-Viren-Software auf. Bei Trend Micro stellt er konsterniert fest: "Das Lächerlichste, was ich je gesehen habe."
Ach ja? Wird schon nicht so schlimm sein, oder?
Selbst wenn Nutzer diese Komponente nicht verwenden, können Angreifer über manipulierte Webseiten Schadcode auf deren Systemen ausführen. Ormandy fand diesen Fehler nach eigenen Angaben "innerhalb von etwa 30 Sekunden".
Oops. Das ist doch eher ziemlich schlimm, schlimmer kann's kaum werden, oder? Doch:
Als wäre das nicht schon schlimm genug, kann ein Angreifer alle Passwörter und die dazugehörigen Domains auslesen, wenn der Passwort-Manager benutzt wird. Zwar sind die Passwörter verschlüsselt, aber eine öffentlich erreichbare API auf dem Rechner des Opfers entschlüsselt sie auf Anfrage.
Hahahaa WAS? Ein Passwortmanager mit öffentlicher API zum Entschlüsseln der Passwörter. Der Begriff "epic fail" wurde gerade neu definiert!
(bild: mike licht [cc by])