Tavis Ormandy de Google ha descubierto recientemente un defecto de diseño crítico en TrendMicro identificado en este informe de error: el servidor HTTP TrendMicro node.js que escucha en localhost puede ejecutar comandos .
El informe de errores me parece una novela de Stephen King sobre horrores de puertos abiertos, ejecución remota, extracción de bóveda de contraseñas y certificados autofirmados. Travis solicitó una escalada usando el comentario "... Esto es trivialmente explotable y detectable en la instalación por defecto, y obviamente se puede usar como gusano. En mi opinión, debería estar paginando a las personas para que solucionen este problema ..."
Mi pregunta es: a la luz del diseño extremadamente deficiente de este producto antivirus desplegado, ¿no es hora de reconsiderar el valor de otorgar acceso a un nivel de sistema de tal producto teniendo en cuenta el riesgo de que esa confianza se utilice de manera incorrecta como aquí? Como mínimo, ¿no es hora de obtener una certificación independiente para productos como estos?