Google Project Zero đã công khai Malwarebytes vì một lỗ hổng bảo mật làm lộ phiên bản phần mềm Chống Phần mềm độc hại cho người tiêu dùng Man ở giữa tấn công.
Ngẫu nhiên, trước khi công khai, vấn đề đã được nhà nghiên cứu bảo mật Tavis Ormandy của Google nêu rõ với công ty 90 ngày trước. Đầu tháng 11 năm 2015, Ormandy thông báo với Malwarebytes rằng các bản cập nhật phần mềm Chống Phần mềm độc hại của họ không tuân theo một kênh an toàn, mở ra một con đường cho những kẻ tấn công khai thác.
“Malwarebytes tìm nạp các bản cập nhật chữ ký của họ qua HTTP, cho phép kẻ tấn công ở giữa. Giao thức liên quan đến việc tải xuống tệp YAML qua HTTP cho mỗi bản cập nhật từ http://data-cdn.mbamupdates.com. Mặc dù các tệp YAML bao gồm tổng kiểm tra MD5, vì nó được phân phối qua HTTP và không được ký, kẻ tấn công có thể chỉ cần thay thế nó ”. cảnh báo Ormandy.
Phản hồi của Malwarebytes đối với sự tiết lộ công khai của Google
Trong khi đó, công ty trả lời tiết lộ của Google nói rằng họ đã sửa một số lỗ hổng phía máy chủ và sẽ sớm phát hành một phiên bản phần mềm mới để vá các lỗ hổng bổ sung phía máy khách. Tuy nhiên, phải đến 3-4 tuần nữa chúng ta mới thấy phiên bản mới, một tin tức gây lo lắng cho những người dùng Malwarebytes hiện tại.
Giám đốc điều hành công ty đưa ra lời xin lỗi
“Tôi cũng muốn nhân cơ hội này để xin lỗi. Trong khi những điều này xảy ra, chúng sẽ không xảy ra với người dùng của chúng tôi “, nói Marcin.
Marcin Kleczynski, Giám đốc điều hành Malwarebytes, đã đưa ra lời xin lỗi tới người dùng phần mềm Chống phần mềm độc hại nói rằng các lỗ hổng bảo mật là thực tế khắc nghiệt của việc phát triển phần mềm và công ty của ông sẽ tung ra một Chương trình Bug Bounty điều đó sẽ khuyến khích các nhà nghiên cứu bảo mật tìm lỗ hổng bảo mật trong phần mềm Malwarebytes.
Phần thưởng sẽ nằm trong khoảng từ $ 100 đến $ 1.000 tùy thuộc vào loại lỗi được phát hiện.
Tư vấn cho người dùng Malwarebytes hiện tại
Nếu bạn là một Malwarebytes Anti-Malware người dùng, bạn nên bật Tự bảo vệ trong Cài đặt để giảm thiểu tất cả các lỗ hổng được báo cáo. Tuy nhiên, như Marcin đã chỉ ra, biện pháp bảo vệ này chỉ dành cho những người sử dụng phiên bản cao cấp của phần mềm Chống Phần mềm độc hại.
- Thẻ: Chống phần mềm độc hại
Cảm ơn các bạn đã theo dõi TOP Thủ Thuật trên đây là những chia sẻ của chúng tôi về Google Project Zero vạch trần các lỗ hổng trong phần mềm Chống phần mềm độc hại Malwarebytes. Hy vọng bài viết tại chuyên mục Thủ Thuật Phần Mềm sẽ giúp ích được cho bạn. Trân trọng !!!