Kurze Information für Nutzer von TrendMicro Worry Free Business Security 10.0 (oft in Firmen im Einsatz). Seit dem 27.07.2018 steht ein Produkt-Update im Download-Center bereit (auf den Registerreiter Product Patch gehen und die .exe-Datei herunter laden). PS: Was diese .exe-Datei während der Installation in Punkto Sicherheit schlimmes treibt, habe ich allerdings nicht getestet. Stichwort ist das von Stefan Kanthak häufiger genannte DLL-Hijacking (siehe z.B. MDOP/MBAM-Update KB4340040 und die Sicherheitlücken). (via)
Suchen
Blogs auf Borncity
Links
- Werbung
-
Seiten
Kategorien
Sponsoren
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 2020Blogroll
Websites
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu erparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Johnathan bei Exchange Server April 2024 Hotfix-Updates (24. April 2024)
- R.S. bei Broadcom: "VMware ist nicht für jeden (im Charity-Bereich) geeignet".
- Roman bei Broadcom: "VMware ist nicht für jeden (im Charity-Bereich) geeignet".
- rpr bei Broadcom: "VMware ist nicht für jeden (im Charity-Bereich) geeignet".
- Roman bei Broadcom: "VMware ist nicht für jeden (im Charity-Bereich) geeignet".
2015
Der Patch 1422 vom 27.07.2018 behebt ein paar Unzulänglichkeiten des Produktes. Dazu steht in der ReadMe zu dem Patch:
Issue 1: "AutoPcc.exe" can be used to unload or reload a Security
Agent in Worry-Free Business Security 9.5 but not in
version 10.
Solution 1: This hotfix updates the Security Agent unload/reload
feature of "AutoPcc.exe" to ensure that it can unload and
reload Security Agents normally in Worry-Free Business
Security 10.
Issue 2: Some users may encounter an infinite loop issue while the
Security Agent updates.
Solution 2: This hotfix resolves the issue by ensuring that the
Security Agent does not overwrite updated files
repeatedly.
1. Der von Dir angebene Link verwendet HTTP statt HTTPS.
Fügt man das fehlende 's' ein, dann leitet der Server auf die UNSICHERE Adresse weiter; das gilt GENERELL für alle URLs https://downloadcenter.trendmicro.com/index.php
TrendMicro ist die Sicherheit ihrer Kunden ganz offensichtlich VÖLLIG schnuppe!
2. das unter der angegebenen URL zum Download über eine UNSICHERE Verbindung http://files.trendmicro.com/products/wfbs/WFBS_100_EN_GM_Downloader.exe bereitgestellte Programm ist ein 7-zip (IGITT!) Selbst-Extraktor.
Diesen UNSICHEREN Schrott hat TrendMicro im eingebetteten Manifest mit 'requireAdministrator' ausgezeichnet, d.h. das Programm läuft ab Windows Vista nur mit Administratorrechten.
Der Selbst-Extraktor legt (obwohl er mit Administratorrechten läuft) ein UNGESICHERTES Unterverzeichnis 7zS.tmp im %TEMP%-Verzeichnis des Benutzers an, entpackt seine Nutzlast dorthin und ruft sie auf.
In Standard-Installationen von Windows, wo der nicht Böses argwöhnende Nutzer das bei der Windows-Installation angelegte vernarrenkappte Administratorkonto missbraucht, kann jeder dort laufende Prozess/Benutzer die Nutzlast nach Belieben manipulieren und damit Administratorrechte erlangen.
Da die von TrendMicro verbrochene Nutzlast WFBSDownloader.exe anfällig für DLL hijacking ist muss ein unprivilegierter Prozess/Benutzer nichts manipulieren, sondern nur eine DLL in das Verzeichnis %TEMP%\7zS.tmp\ kopieren.
Wer solchen ANFÄNGERN die Sicherheit (s)eines Systems anvertraut hat schon verloren!
FINGER WEG von allem von TrendMicro!
Danke für die Ergänzung – funktioniert doch, über Bande zu spielen :-).
Schäm Dich!
Der UNSICHERE Downloader lädt (selbstverständlich wieder über HTTP statt HTTPS) das 1.32 GB "kleine" WFBS_100_EN_GM_B1366_R1.exe herunter.
Dieses "Meisterwerk", selbstverständlich wieder ein trivial angreifbarer, mit 7zip (IGITT!) verbrochener Selbst-Extraktor (IGITT!), enthält folgenden SONDERMÜLL:
– CSM\Setup.exe: anfällig für DLL hijacking, IRREPARABEL!
– CSM\NetFx20SP2_x64.exe, CSM\NetFx20SP2_x86.exe: die VOLLIDIOTEN von TrendMicro entblöden sich, das völlig veraltete .NET Framework 2.0SP2 installieren zu wollen.
– CSM\MSA\icudt34.dll, CSM\MSA\icuin34.dll, CSM\MSA\icuuc34.dll: die VOLLIDIOTEN von TrendMicro erdreisten sich, die VÖLLIG veraltete Version 3.4.1.1. des "International Components for Unicode" von IBM installieren zu wollen;
– CSM\MSA\mfc80.dll, CSM\MSA\mfc80u.dll, CSM\MSA\msvcp80.dll, CSM\MSA\msvcr80.dll, CSM\MSA\vcredist_x86.exe, CSM\MSA\vcredist_x64.exe, CSM\vcredist_2005_x86.exe, CSM\vcredist_2005_x64.exe: die VOLLTROTTEL von TrendMicro liefern die VÖLLIG veraltete, UNGEWARTETE und UNSICHERE MSVCRT 2005 RTM 8.00.50727.762 aus (3x, damit's besser hält);
– CSM\MSA\msvcr71.dll: dito mit MSVCRT 2003 7.10.3052.4;
– CSM\MSA\msvcrt.dll: MSVCRT 7.0.3790.1830 (srv03_sp1_rtm.050324-1447), und ein Copyright-Verstoss;
– CSM\WFBS\CommonFeature\libcurl.dll: das VÖLLIG veraltete und UNSICHERE cURL 7.35.0;
– CSM\WFBS\CommonFeature\libeay32.dll, CSM\WFBS\CommonFeature\ssleay32.dll: ein VÖLLIG veraltetes und UNSICHERES OpenSSL 1.0.1i
BESSER kann eine Firma ihre VÖLLIGE Inkompetenz nicht demonstrieren!
Ich schäme mich doch schon im Keller, wegen Sinofsky und Schadenfreude ;-)
Mehr als nur peinlich!
Das soll doch eine Firma für Sicherheitslösungen sein?!
Das Beste…
Habe mich fast weggeschmissen vor Lachen.
Ich bin gewiss kein Experte auf diesem Gebiet, aber wenn ich das hier so lese so bin ich doch ziemlich entsetzt!
Vor allem über die Masse der von Stefan Kanthak aufgezeigten Sicherheitsmängel einer Firma für Sicherheitssoftware!
Unglaublich!
Ich muss zugeben, ich lese gerne die Beiträge von Stefan Kanthak.
Zum einen sind diese, in ihrer "eigenwilligen Art", amüsant zu lesen, trotz des ernsten Hintergrunds.
Zum anderen bringen sie interessante Fakten ans Licht (erinnert mich an eine Obduktion), die dem "normalen" User sonst verborgen bleiben und somit, dem einen oder anderen Interessierten, Anhaltspunkte für weitere Recherchen liefern.
Von daher, Stefan Kanthak +1!