如果你使用的是Windows操作系统，而你又安装了趋势科技的反病毒软件，那么你就要小心了！

你的电脑不仅有可能会被黑客远程劫持，而且还有可能被任意的恶意软件感染，除此之外，攻击者甚至还可以通过一个网站就可以入侵你的计算机系统。这一切都是因为趋势科技的安全防毒软件中存在一个严重的安全漏洞。

趋势科技公司是一家著名的安全公司，同时该公司也是一家反病毒软件的制造商。不久之前，安全研究人员在该公司的反病毒产品中发现了一个严重的安全漏洞，这个漏洞不仅允许攻击者在目标主机中远程执行任意命令，而且还可以从密码管理器（该组件内嵌于趋势科技的反病毒软件中）中盗取你所保存的密码数据。目前，趋势科技已经发布了一个紧急的安全补丁来修复这一个严重漏洞。

这个密码管理工具内嵌于反病毒软件的主程序之中，与其他的密码管理程序一样，用户可以使用这个工具来存储他们的密码信息。

攻击者甚至可以通过网站来攻击你的电脑

谷歌公司的安全研究专家Tavis Ormandy在趋势科技反病毒软件的密码管理组件中发现了一个远程代码执行漏洞，这个漏洞允许攻击者盗取用户的密码。

简而言之，当你的计算机遭到入侵之后，你所有的账户密码就都没了。

从技术的角度来说，当反病毒软件的主程序启动之后，这个内嵌于反病毒套件的密码管理工具就会默认在本地计算机中启动一个Node.js服务器。

当他对这个密码管理工具进行了分析和研究之后，Ormandy发现这个Node.js服务器会开放大量的HTTP RPC端口（这些端口用于处理API请求）。

攻击者可以制作类似“http://localhost:49155/api/”的恶意链接，当用户在安装了趋势科技反病毒软件的前提下点击这个链接的话，攻击者就可以在目标系统中远程执行任意代码了，而且还不需要任何形式的用户交互行为。

总而言之，攻击者可以在你毫不知情的情况下，轻而易举地在你的计算机中远程下载并执行任意的恶意代码。

除了上述的发现以外，Ormandy还发现趋势科技的这款密码管理工具还将70余个系统应用程序编程接口（API）暴露在外，而这也与文中之前所提到的Node.js服务器有关。

趋势科技使用自签名的SSL证书

与联想公司的Superfish以及戴尔公司的eDellRoot一样，趋势科技还在存储用户证书的组件中添加了一个自签名的安全证书，这样一来，用户就不会接收到任何有关HTTPS的错误提示了。

Ormandy说到：“这种设计简直是太可笑了！”

趋势科技所安装的这个自签名HTTPS证书能够截获用户在访问网站时所产生的所有加密流量。

Ormandy将这个问题报告给了趋势科技的安全团队，并帮助他们开发出了相应的安全补丁来修复这一问题。目前，该公司已经发布了一个安全补丁，这个补丁可以修复相关产品中的的远程代码执行漏洞。当然了，趋势科技建议广大用户尽快安装这一安全补丁，并尽量保证当前系统所使用的是最新版本的反病毒软件。

        默认安装最新的TRAND Micro:

图1

        可以在数据安全中找到这个密码管理程序,默认就是开启的,可以看到在本地进行端口监听:

图2

        监听的端口是49153,google分析中给出是49155,看来这个端口应该是在一个范围内。这个服务是node.js开发的http server程序,在这个url处存在任意命令执行漏洞:

        https://localhost:49153/api/openUrlInDefaultBrowser?url=cmd

        这个api本来是用来在浏览器中打开一个页面的:

图3

        然而却也可以打开系统路径:

图4

        进而又可以打开路径中的文件:

图5

        最后连可执行文件也不在话下,功能着实强大啊:

        https://localhost:49153/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe

图6

        此漏洞的危害就在于,只要攻击者在页面内插入类似这样的请求:

        就可以在安装TrendMicro的windows系统上执行任意命令