Tavis Ormandy di Google ha recentemente scoperto un difetto di progettazione TrendMicro critico identificato in questo bug report - TrendMicro node.js Il server HTTP in ascolto su localhost può eseguire comandi .
Il bug report mi sembra un romanzo di Stephen King degli orrori delle porte aperte, dell'esecuzione remota, dell'estrazione delle password e dei certificati autofirmati. Travis ha chiesto l'escalation usando il commento "... Questo è banalmente sfruttabile e rilevabile nell'installazione di default, e ovviamente wormable - secondo me, dovresti fare il cercapersone per farlo correggere ..."
La mia domanda è: alla luce della progettazione estremamente scadente di questo prodotto antivirus in campo non è il momento di riconsiderare il valore di fornire un accesso a livello di sistema di questo tipo considerando il rischio che tale fiducia venga usata in modo errato come qui? Per lo meno non è il momento di certificare autonomamente prodotti come questi?