Sicherheitsforscher von Googles Project Zero haben mehrere schwerwiegende Schwachstellen in Malwarebytes Anti-Malware-Tool entdeckt. Das in einer kostenlosen und einer Premium-Version verfügbare Programm für Privatanwender wird weltweit von 250 Millionen Nutzern eingesetzt, wie der Hersteller kürzlich bekannt gab. Ihm zufolge kann es noch drei bis vier Wochen dauern, bis alle der ihm im November gemeldeten Lücken geschlossen sind.
Sicherheitsforscher Tavis Ormandy hatte gestern gemäß der Richtlinien von Project Zero einen teilweise geschwärzten Bericht zu den Sicherheitslücken in Malwarebytes Software veröffentlicht. Demnach bezieht der Client Malware-Signatur-Updates über eine unverschlüsselte HTTP-Verbindung, was Man-in-the-Middle-Angriffe ermögliche.
Weitere von Ormandy geschilderte Lücken erlauben Angreifern auf simple Weise Rechteausweitung und das Ausführen von Schadcode aus der Ferne. Von den Sicherheitsproblemen betroffen sind offenbar sowohl die kostenlose Variante als auch die kostenpflichtige Premium-Version von Malwarebytes Anti-Malware. Anwendern der kostenpflichtigen Ausgabe empfiehlt der Hersteller, bis zum Erscheinen einer fehlerberichtigten Version in den Einstellungen die Option „Selbstschutz“ zu aktivieren. Dadurch könnten sie die gemeldeten Schwachstellen entschärfen.
Zu der von Ormandy geschilderte Möglichkeit eines Angreifers, über die Anti-Malware-Software Schadcode in ein System einzuschleusen, erklärt Malwarebytes-Gründer und CEO Marcin Kleczynski: „Aufgrund unserer Untersuchungen sind wir der Meinung, dass dies nur möglich ist, wenn eine Maschine nach der anderen angegriffen wird.“ Dennoch sei das Problem gravierend genug, um einen Fix dafür bereitzustellen.
Zugleich kündigte Kleczynski den Start eines Bug-Prämienprogramms an. Darüber können unabhängige Sicherheitsforscher bisher unentdeckte Lücken in Malwarebytes‘ Software melden und erhalten dafür eine Belohnung. Diese beläuft sich je nach Schweregrad der gemeldeten Schwachstelle auf 100 bis 1000 Dollar. Außerdem werden die Entdecker in Malwarebytes Hall of Fame aufgenommen.
„Unglücklicherweise sind Sicherheitslücken Teil der harten Realität bei der Software-Entwicklung“, so Kleczynski weiter. „Ein Programm zur Offenlegung von Schwachstellen ist ein Weg, deren Entdeckung zu beschleunigen und Firmen wie Malwarebytes zu ermöglichen, sie zu beseitigen.“
Anfällige Sicherheitssoftware stellt eine besonders große Gefahr dar, weil sie mit weitreichenden Berechtigungen ausgestattet und oft tief ins System integriert ist. Ormandy hatte zuvor schon ähnliche Lücken in Produkten von AVG, Kaspersky, FireEye, Trend Micro, ESET und Sophos aufgedeckt.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
