Sicherheitsforscher von Googles Project Zero haben mehrere schwerwiegende Schwachstellen in Malwarebytes Anti-Malware-Tool entdeckt. Das in einer kostenlosen und einer Premium-Version verfügbare Programm für Privatanwender wird weltweit von 250 Millionen Nutzern eingesetzt, wie der Hersteller kürzlich bekannt gab. Ihm zufolge kann es noch drei bis vier Wochen dauern, bis alle der ihm im November gemeldeten Lücken geschlossen sind.
Wie das Sicherheitsunternehmen mitteilt, hat es mehrere Schwachstellen bereits serverseitig beheben können. Aktuell teste man eine neue Version (2.2.1) der Anti-Malware-Software, um auch die zusätzlichen clientseitigen Lecks zu stopfen.
Sicherheitsforscher Tavis Ormandy hatte gestern gemäß der Richtlinien von Project Zero einen teilweise geschwärzten Bericht zu den Sicherheitslücken in Malwarebytes Software veröffentlicht. Demnach bezieht der Client Malware-Signatur-Updates über eine unverschlüsselte HTTP-Verbindung, was Man-in-the-Middle-Angriffe ermögliche.
Weitere von Ormandy geschilderte Lücken erlauben Angreifern auf simple Weise Rechteausweitung und das Ausführen von Schadcode aus der Ferne. Von den Sicherheitsproblemen betroffen sind offenbar sowohl die kostenlose Variante als auch die kostenpflichtige Premium-Version von Malwarebytes Anti-Malware. Anwendern der kostenpflichtigen Ausgabe empfiehlt der Hersteller, bis zum Erscheinen einer fehlerberichtigten Version in den Einstellungen die Option „Selbstschutz“ zu aktivieren. Dadurch könnten sie die gemeldeten Schwachstellen entschärfen.
Zu der von Ormandy geschilderte Möglichkeit eines Angreifers, über die Anti-Malware-Software Schadcode in ein System einzuschleusen, erklärt Malwarebytes-Gründer und CEO Marcin Kleczynski: „Aufgrund unserer Untersuchungen sind wir der Meinung, dass dies nur möglich ist, wenn eine Maschine nach der anderen angegriffen wird.“ Dennoch sei das Problem gravierend genug, um einen Fix dafür bereitzustellen.
Zugleich kündigte Kleczynski den Start eines Bug-Prämienprogramms an. Darüber können unabhängige Sicherheitsforscher bisher unentdeckte Lücken in Malwarebytes‘ Software melden und erhalten dafür eine Belohnung. Diese beläuft sich je nach Schweregrad der gemeldeten Schwachstelle auf 100 bis 1000 Dollar. Außerdem werden die Entdecker in Malwarebytes Hall of Fame aufgenommen.
„Unglücklicherweise sind Sicherheitslücken Teil der harten Realität bei der Software-Entwicklung“, so Kleczynski weiter. „Ein Programm zur Offenlegung von Schwachstellen ist ein Weg, deren Entdeckung zu beschleunigen und Firmen wie Malwarebytes zu ermöglichen, sie zu beseitigen.“
Anfällige Sicherheitssoftware stellt eine besonders große Gefahr dar, weil sie mit weitreichenden Berechtigungen ausgestattet und oft tief ins System integriert ist. Ormandy hatte zuvor schon ähnliche Lücken in Produkten von AVG, Kaspersky, FireEye, Trend Micro, ESET und Sophos aufgedeckt.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Produktiver arbeiten mit Unified Communications & Collaboration
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Neueste Kommentare
2 Kommentare zu Kritische Lücken in Malwarebytes Anti-Malware entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ich finde Malware Anti Malware immer noch am besten, den des es findet immer etwas auch wenn es keine gefährliche Malware ist.
Wir sollten froh sein, das es Leute gibt die sowas Entwickeln und uns daran teilhaben und uns davor schützen nicht miesen Gängstern auf dem Leim zu gehen. Meine Hochachtung vor diesen Leuten
Sorgfalt als oberstes Gebot ist wohl zum Fremdwort geworden.
Zitat: Demnach bezieht der Client Malware-Signatur-Updates über eine unverschlüsselte HTTP-Verbindung, was Man-in-the-Middle-Angriffe ermögliche.
Wenn den Entwicklern ausgerechnet von Sicherheitssoftware solch einfache Fehler mit so schwerwiegenden Folgen unterlaufen ist das schon ziemlich heftig. Arbeiten Softwareentwickler im Akkord, oder wie kann so ein Lapsus passieren?
mfg R.K.