Google detecta vulnerabilidades no Malwarebytes

mbamUma grave falha de segurança foi revelada nesta semana pelos especialistas do Project Zero, o time do Google especializado em localizar vulnerabilidades em softwares. E o aplicativo vulnerável da vez é o MalwareBytes, que como o nome já indica, é voltado para proteger seus mais de 250 milhões de usuários das pragas virtuais, mas poderia ter sua utilização manipulada por ataques realizados por intermediários.

O problema, de acordo com o relatório do pesquisador Tavis Ormandy, está no sistema de updates do MalwareBytes, servido por meio de uma conexão HTTP simples e sem criptografia. Isso permitiria que hackers e outros indivíduos maliciosos interceptassem o arquivo e o manipulassem, podendo, por exemplo, criar falsos positivos ou alterar as definições para que certas vulnerabilidades ou pragas deixassem de ser identificadas. De acordo com o Google, a MalwareBytes foi notificada em novembro. Como o problema não foi resolvido no prazo de três meses que é estipulado pelo grupo, as informações sobre a vulnerabilidade foram divulgadas ao público como maneira de pressionar a fabricante a lidar com a situação uma vez que, agora, hackers que poderiam não conhecer a abertura podem tentar se aproveitar delas.

De acordo com a empresa responsável pelo software de proteção, entretanto, uma resolução completa ainda deve levar de três a quatro semanas para ser liberada. Por outro lado, um ajuste de “autoproteção” nas configurações do MalwareBytes pode mitigar a vulnerabilidade enquanto uma atualização não é lançada, garantindo que o software identifique qualquer alteração na atualização.

Além disso, a fabricante de software anunciou um programa de caça aos bugs que vai premiar especialistas e hackers com valores de até US$ 1 mil pela identificação de vulnerabilidades em seus produtos. A MalwareBytes também pediu desculpas a seus usuários e disse que está trabalhando ativamente para que todos os problemas de segurança sejam solucionados.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e  Project Zero

One Response to Google detecta vulnerabilidades no Malwarebytes

  1. Richardson André says:

    No que se refere à pesquisa de vulnerabilidades, bem como jornalismo, este senhor Tavis Ormandy poderia ser substituído por uma batata. Explico os motivos:

    1. Ele não esperou o prazo que a própria Google, empresa que o emprega, estipula para divulgar publicamente uma vulnerabilidade encontrada, no caso da Comodo com o navegador Chromodo Browser. Isso mostra que ele teve um interesse em tornar pública esta vulnerabilidade desobedecendo a regra da própria empresa que ele trabalha, mostrando que a intentação dele com isso é manchar a reputação da empresa Comodo.

    2. Encontrar vulnerabilidades em software, até criança sem dente encontra. TODOS os Softwares são repletos de falhas, inclusive e principalmente o Windows.

    3. Se um software usa de código de terceiros, como é o caso da Comodo com o Chromodo Browser, que utiliza o código do projeto open source chamado Chromium, não é justo que a Comodo seja penalizada por uma falha de segurança proveniente de terceiros, que já foi corridiga pela mesma.

    4. Esse senhor Tavis Ormandy, parece estar interessado na fama, e ter seu trabalho e nome divulgados mundialmente, tratando de forma injusta assuntos relacionados à vulnerabilidades, pois notícias que dão audiência são aquelas que tratam de POLÊMICA, mesmo que para isso tenha que se maquiar a verdade e contar ilações e falsas afirmações, como ele fez.

%d blogueiros gostam disto: