Sicherheitsforscher von Googles Project Zero haben mehrere schwerwiegende Schwachstellen in Malwarebytes Anti-Malware-Tool entdeckt. Das in einer kostenlosen und einer Premium-Version verfügbare Programm für Privatanwender wird weltweit von 250 Millionen Nutzern eingesetzt, wie der Hersteller kürzlich bekannt gab. Ihm zufolge kann es noch drei bis vier Wochen dauern, bis alle der ihm im November gemeldeten Lücken geschlossen sind.
Sicherheitsforscher Tavis Ormandy hatte gestern gemäß der Richtlinien von Project Zero einen teilweise geschwärzten Bericht zu den Sicherheitslücken in Malwarebytes Software veröffentlicht. Demnach bezieht der Client Malware-Signatur-Updates über eine unverschlüsselte HTTP-Verbindung, was Man-in-the-Middle-Angriffe ermögliche.
Weitere von Ormandy geschilderte Lücken erlauben Angreifern auf simple Weise Rechteausweitung und das Ausführen von Schadcode aus der Ferne. Von den Sicherheitsproblemen betroffen sind offenbar sowohl die kostenlose Variante als auch die kostenpflichtige Premium-Version von Malwarebytes Anti-Malware. Anwendern der kostenpflichtigen Ausgabe empfiehlt der Hersteller, bis zum Erscheinen einer fehlerberichtigten Version in den Einstellungen die Option „Selbstschutz“ zu aktivieren. Dadurch könnten sie die gemeldeten Schwachstellen entschärfen.
Zu der von Ormandy geschilderte Möglichkeit eines Angreifers, über die Anti-Malware-Software Schadcode in ein System einzuschleusen, erklärt Malwarebytes-Gründer und CEO Marcin Kleczynski: „Aufgrund unserer Untersuchungen sind wir der Meinung, dass dies nur möglich ist, wenn eine Maschine nach der anderen angegriffen wird.“ Dennoch sei das Problem gravierend genug, um einen Fix dafür bereitzustellen.
Zugleich kündigte Kleczynski den Start eines Bug-Prämienprogramms an. Darüber können unabhängige Sicherheitsforscher bisher unentdeckte Lücken in Malwarebytes‘ Software melden und erhalten dafür eine Belohnung. Diese beläuft sich je nach Schweregrad der gemeldeten Schwachstelle auf 100 bis 1000 Dollar. Außerdem werden die Entdecker in Malwarebytes Hall of Fame aufgenommen.
„Unglücklicherweise sind Sicherheitslücken Teil der harten Realität bei der Software-Entwicklung“, so Kleczynski weiter. „Ein Programm zur Offenlegung von Schwachstellen ist ein Weg, deren Entdeckung zu beschleunigen und Firmen wie Malwarebytes zu ermöglichen, sie zu beseitigen.“
Anfällige Sicherheitssoftware stellt eine besonders große Gefahr dar, weil sie mit weitreichenden Berechtigungen ausgestattet und oft tief ins System integriert ist. Ormandy hatte zuvor schon ähnliche Lücken in Produkten von AVG, Kaspersky, FireEye, Trend Micro, ESET und Sophos aufgedeckt.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
