Google เปิดเผยช่องโหว่บน Malwarebytes หลังแจ้งช่องโหว่ไปแล้วไม่ยอมแก้ภายใน 90 วัน

Tavis Ormandy นักวิจัยจาก Google Project Zero ได้ตรวจพบช่องโหว่ทางด้านความปลอดภัยร้ายแรงบน Malwarebytes ซึ่งเป็น Anti-Malware ชื่อดังรายหนึ่ง และแจ้งไปทาง Malwarebytes ตั้งแต่เดือนพฤศจิกายน 2015 และไม่เกิดความคืบหน้าใดๆ จนกระทั่งหมดเส้นตายของ Google ที่ 90 วัน และ Ormandy ก็ได้ออกมาเล่าถึงรายละเอียดของช่องโหว่เหล่านี้

malwarebytes_banner

ช่องโหว่บน Malwarebytes นี้ค่อนข้างร้ายแรงพอสมควร เพราะการอัพเดตซอฟต์แวร์นั้นก็ไม่ได้ทำผ่านการเข้ารหัสหรือมีการตรวจสอบต้นทางแต่อย่างใด ทำให้อาจถูก Man-in-the-Middle ได้ ในขณะที่ช่องโหว่อื่นๆ นั้นก็มีตั้งแต่ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตัวเองได้, ทำ Code Injection ได้ ไปจนถึงทำ Remote Code Execution ได้เลยทีเดียว

ตอนนี้ทาง Malwarebytes ได้ออกมาขอโทษผู้ใช้งานถึงความผิดพลาดของตัวเอง และอาจต้องใช้เวลาอีกถึง 3-4 สัปดาห์ในการอุดช่องโหว่เหล่านี้ให้เรียบร้อย และได้ออกมาประกาศถึงโครงการ Bug Bounty Program ของ Malwarebytes ที่มีรางวัลถึง 1,000 เหรียญสหรัฐที่ https://www.malwarebytes.org/secure/

ทั้งนี้ผู้ใช้งาน Malwarebytes ทั้งหมดก็จะตกอยู่ในความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่ที่ถูกเปิดเผยโดย Google นี้แล้วที่ https://code.google.com/p/google-security-research/issues/detail?id=714 ดังนั้นใครที่ใช้ Malwarebytes อยู่ก็ต้องหาทางหนีทีไล่ดีๆ นะครับ

ที่มา: http://www.theregister.co.uk/2016/02/02/malwarebytes_0day/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AWS เพิ่มตัวเลือก WorkSpaces รุ่นใหม่รองรับ 32 vCPU สำหรับงานประมวลผลหนัก

AWS เปิดตัว WorkSpaces รุ่นใหม่พร้อม vCPU สูงสุด 32 คอร์และแรม 128GB สำหรับงานประมวลผลหนัก เพิ่มทางเลือกใหม่สำหรับการทำงาน Remote

AWS Management Console สนับสนุน Sign-In พร้อมกันหลายบัญชีได้แล้ว

ล่าสุด AWS ผู้ให้บริการ Cloud ยักษ์ใหญ่ได้ประกาศสนับสนุนการใช้งาน Multi-Session หรือการเข้าถึง AWS Management Console ด้วยบัญชี AWS ได้พร้อมกันหลายบัญชี โดยผู้ใช้งานจะสามารถ Sign-In …