Na blogu Google Security Research badacze opublikowali informację o odkrytych jakiś czas temu i zgłoszonych już do producenta kilku wykrytych lukach/błędach w mechanizmie programu.
Pierwszy dotyczy procesu aktualizacji - proces ten wymaga pobierania plików YAML za pomocą zwykłego połączenia HTTP...nie dość, że połączenie jest mało bezpieczne, to same pliki nie są podpisywane cyfrowo i tym samym łatwe do podmiany - skutkować to może skutecznym atakiem MITM (man in the middle).
Drugi dotyczy zabezpieczania ustawień programu i definicji wirusów - pliki konfiguracyjne tych funkcji przechowywane są w określonych lokalizacjach, ale ustawienia tzw. ACL (Access Control List - lista kontroli dostępu) zezwalają na dostęp do nich każdemu użytkownikowi bez względu na uprawnienia, które ma w systemie...przejęcie systemu tym sposobem określono jako "trywialne".
Trzeci i czwarty błąd dotyczył pewnych specyficznych reguł wykonywanych wewnątrz programu oraz własnych procedur czyszczących - w wyniku wykorzystania tych luk dojść może do zdalnego wykonania obcego kodu.
Producent wydał 1 lutego oświadczenie na ten temat, w którym przeprasza za błędy i informuje o swoich staraniach, by w najbliższych 3-4 tygodniach opublikować kolejną poprawioną wersję (2.2.1). Ponadto zaleca użytkownikom MBAM Premium włączenie funkcji auto-ochrony programu.
Źródło
----------------------------------
edit:
Odświeżam temat, ponieważ na blogu Malwarebytes prawdopodobnie w związku z sytuacją opisaną powyżej ukazało się ich oświadczenie pt. "Malwarebytes Bug Bounty and the Coordinated Vulnerability Disclosure Program". Producent prosi w nim niezależnych testerów/badaczy o zgłaszanie błędów i podatności wykrytych w rozwijanych przez Malwarebytes programach. Za najciekawsze, szczególnie ważne oferują nagrody od 100 do 1000 $.
Pierwszy dotyczy procesu aktualizacji - proces ten wymaga pobierania plików YAML za pomocą zwykłego połączenia HTTP...nie dość, że połączenie jest mało bezpieczne, to same pliki nie są podpisywane cyfrowo i tym samym łatwe do podmiany - skutkować to może skutecznym atakiem MITM (man in the middle).
Drugi dotyczy zabezpieczania ustawień programu i definicji wirusów - pliki konfiguracyjne tych funkcji przechowywane są w określonych lokalizacjach, ale ustawienia tzw. ACL (Access Control List - lista kontroli dostępu) zezwalają na dostęp do nich każdemu użytkownikowi bez względu na uprawnienia, które ma w systemie...przejęcie systemu tym sposobem określono jako "trywialne".
Trzeci i czwarty błąd dotyczył pewnych specyficznych reguł wykonywanych wewnątrz programu oraz własnych procedur czyszczących - w wyniku wykorzystania tych luk dojść może do zdalnego wykonania obcego kodu.
Producent wydał 1 lutego oświadczenie na ten temat, w którym przeprasza za błędy i informuje o swoich staraniach, by w najbliższych 3-4 tygodniach opublikować kolejną poprawioną wersję (2.2.1). Ponadto zaleca użytkownikom MBAM Premium włączenie funkcji auto-ochrony programu.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
Oświadczenie Malwarebytes[Aby zobaczyć linki, zarejestruj się tutaj]
----------------------------------
edit:
Odświeżam temat, ponieważ na blogu Malwarebytes prawdopodobnie w związku z sytuacją opisaną powyżej ukazało się ich oświadczenie pt. "Malwarebytes Bug Bounty and the Coordinated Vulnerability Disclosure Program". Producent prosi w nim niezależnych testerów/badaczy o zgłaszanie błędów i podatności wykrytych w rozwijanych przez Malwarebytes programach. Za najciekawsze, szczególnie ważne oferują nagrody od 100 do 1000 $.
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
