近日，两家知名安全方案提供商比特梵德 (Bitdefender) 和趋势科技 (Trend Micro) 都在其安全软件中发现了安全问题，涉及到 MiTM 中间人劫持和本地权限提升等，漏洞评级为高危级别。比特梵德修复了 Bitdefender Total Security 中的五个漏洞，攻击者可利用哈希冲突创建中间证书进行中间人劫持。而趋势科技修复了 Deep Security Agent 客户端中的一个漏洞，攻击者可利用身份验证控制不足进行权限提升。两家开发商已发布新版本进行修复，并敦促用户尽快更新以防范风险。

💥 **比特梵德 (Bitdefender) 安全漏洞:** Bitdefender Total Security 存在 5 个漏洞，攻击者可以通过哈希冲突 (MD5 和 SHA1) 创建中间证书，并利用该证书签发伪造的签名进行中间人劫持。Bitdefender Total Security 27.0.25.11 版已修复这些漏洞，用户升级到 27.0.25.11 及后续版本即可免受漏洞影响。

🛡️ **趋势科技 (Trend Micro) 安全漏洞:** 趋势科技修复了 Deep Security Agent 客户端中的一个漏洞 (CVE-2024-48903)，攻击者可以通过身份验证控制不足进行权限提升，但前提是攻击者需要有较低的用户权限。该漏洞仅影响 Windows 版，趋势科技已发布 Deep Security Agent 20.0.1-17380 进行修复。

⚠️ **用户行动:** 两家开发商都已发布新版本进行修复，并敦促用户尽快执行更新。对于使用旧版本的 Deep Security Agent 的用户，请通知贵公司 IT 团队或安全团队，由这些团队对企业内网中的计算机或服务器执行批量更新。

过去几天业界知名的两家安全方案提供商比特梵德 (Bitdefender) 和趋势科技 (Trend Micro) 都在其安全软件里发现了安全问题。

这些安全问题涉及到 MiTM 中间人劫持和本地权限提升等，漏洞评级方面都是高危级别，目前两家开发商都已经发布新版本进行修复，所以他们也在敦促用户尽快执行更新。

比特梵德修复的安全漏洞：

Bitdefender Total Security 存在 5 个漏洞，分别是 CVE-2023-49567、CVE-2023-49570、CVE-2023-6055、CVE-2023-6056、CVE-2023-6057。

攻击者可以使用哈希冲突 (MD5 和 SHA1) 来创建作为合法证书传递的中间证书，进而使用这个证书签发伪造的签名进行中间人劫持。

Bitdefender Total Security 27.0.25.11 版已修复这些漏洞，用户升级到 27.0.25.11 及后续版本即可免受漏洞影响。

不过比特梵德暂未透露是否已经有攻击者利用此漏洞展开攻击，也没有透露该漏洞来自内部审计还是安全研究人员发现并通报的。

趋势科技修复的安全漏洞：

趋势科技修复的安全漏洞只有一个：CVE-2024-48903，攻击者借助该漏洞可以利用身份验证控制不足而进行权限提升，趋势科技解释说要利用此漏洞的前提是首先攻击者需要有较低的用户权限 (即普通用户权限提升到管理员级别)。

受影响的产品是趋势科技服务器深度安全防护系统客户端 (Deep Security Agent)，这个漏洞也仅影响 Windows 版，目前趋势科技已经发布 Deep Security Agent 20.0.1-17380 进行修复。

如果你使用的版本是 20.0.1-17380 之前的版本，请通知贵公司 IT 团队或安全团队，由这些团队对企业内网中的计算机或服务器执行批量更新。