Trend Microのパスワード管理ソフト「Password Manager」でリモートから任意のコードが実行可能な脆弱性が発見され、発見者のGoogle Security ResearchのTavis Ormandy氏から報告を受けたTrend Microが緊急アップデートを配布したそうだ（Google Security Research — Issue 693、Trend Microのブログ、Softpedia、Ars Technica、Register）。

Password Managerは主にJavaScriptで書かれており、localhostでNode.jsを使ってHTTPサーバーを実行する。このコンポーネントは70近いAPIを公開しているが、最初に問題が見つかったのは「openUrlInDefaultBrowser」APIから「ShellExecute」が実行される点だ。そのため、Webサイト側がこのAPIを呼び出すことで、任意のコード実行が可能となる。さらに、localhost用の自己署名の証明書が信頼済みストアに追加されるため、セキュリティエラーなども発生しないという。

Trend Microは修正済みビルドを作成してOrmandy氏に送ったが、任意コード実行可能なAPIは他にも見つかり、Password Managerが暗号化して保存しているすべてのパスワードをWebサイトが取得し、復号できることも判明した。Webブラウザが保存しているパスワードのPassword Managerへのエクスポートはオプションだが、攻撃者は「exportBrowserPasswords」APIを使用することで、ユーザーが実際にPassword Managerを使用していなくてもパスワードを取得できる可能性がある。

指摘された問題は最終的にすべて修正され、緊急アップデートが自動更新で配布されているが、他にも問題が見つかる可能性もあるという。なお、Password Managerは単体で販売されているほか、米国では「Trend Micro Premium/Maximum Security 10」に同梱されているが、国内版の「ウイルスバスター クラウド 10」には同梱されておらず、別途提供のみとなっているようだ。