Malwarebytes räumt Sicherheitslücken in seiner Anti-Malware-Software ein
Der Hersteller hält sie zwar nicht für so gravierend, wie sie die Entdecker von Googles Project Zero einstufen, will aber dennoch Patches bereitstellen. Allerdings kann das noch drei bis vier Wochen dauern. Die Lücken stecken in der Privatanwenderversion von Malwarebytes Anti-Malware.
In der verbreiteten Sicherheitssoftware Malwarebytes Anti-Malware haben Forscher von Googles Project Zero mehrere schwerwiegende Schwachstellen entdeckt. Weltweit setzend as in einer kostenlosen und einer kostenpflichtigen Version erhältliche Programm für Privatanwender rund 250 Millionen Nutzern ein. Sie müssen nun drei bis vier Wochen warten, bis alle der dem Herstelller im November gemeldeten Sicherheitslücken geschlossen sind.
Dem Unternehmen zufolge wurden mehrere Schwachstellen auf Seiten seiner Server bereits behoben. Aktuell werde eine neue Version (2.2.1) der Anti-Malware-Software getestet, um die Lecks in der Client-Software zu schließen.
Sicherheitsforscher Tavis Ormandy hatte zuvor einen teilweise geschwärzten Bericht zu den Sicherheitslücken veröffentlicht. Der zeigt, dass der Client Malware-Signatur-Updates über eine unverschlüsselte HTTP-Verbindung bezieht. Dadurch seien Man-in-the-Middle-Angriffe möglich.
Außerdem wies Ormandy auf Lücken hin, die es Angreifern erlauben, auf recht einfache Weise die Rechte auszunweiten und Schadcode aus der Ferne auszuführen. Betroffen sind offenbar sowohl die kostenlose Variante als auch die kostenpflichtige Premium-Version von Malwarebytes Anti-Malware. Anwendern der kostenpflichtigen Ausgabe empfiehlt der Hersteller, vorerst in den Einstellungen die Option “Selbstschutz” zu aktivieren. So könnten sie die gemeldeten Schwachstellen entschärfen.
Die von Ormandy geschilderte Möglichkeit, über die Anti-Malware-Software Schadcode in ein System einzuschleusen, hält Malwarebytes-Gründer und CEO Marcin Kleczynski nur in bestimmten Fällen für möglich: “Aufgrund unserer Untersuchungen sind wir der Meinung, dass dies nur möglich ist, wenn eine Maschine nach der anderen angegriffen wird.” Dennoch sei das Problem gravierend genug, um einen Fix dafür bereitzustellen.
Kleczynski kündigte zudem ein Bug-Prämienprogramms an. Darüber können unabhängige Sicherheitsforscher bisher unentdeckte Lücken dem Hersteller melden und erhalten dafür eine Belohnung. Diese liegt je nach der von der Lücke ausgehenden Gefahr zwischen 100 und 1000 Dollar. Außerdem werden die Entdecker in Malwarebytes Hall of Fame aufgenommen. “Unglücklicherweise sind Sicherheitslücken Teil der harten Realität bei der Software-Entwicklung”, so Kleczynski weiter. “Ein Programm zur Offenlegung von Schwachstellen ist ein Weg, deren Entdeckung zu beschleunigen und Firmen wie Malwarebytes zu ermöglichen, sie zu beseitigen.”
Präemienprogramme, wie sie jetzt auch von Malwarebytes aufgelegt wurden, sind inzwischen weit verbreitet. In den USA gibt es mit BugCrowd und HackerOne bereits seit längerem Plattformen, die eine Übersicht darüber geben und gutwilligen Hackern eine Möglickeit bieten, mit den Herstellern in Verbindung zu treten, ohne möglicherweise von denen für ihr Tun belangt zu werden. Seit kurzem ist mit Bounty Factory auch eine europäische Plattform dafür verfübgar.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de