TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Tavis Ormandy นักวิจัยจาก Google Project Zero ได้ตรวจพบช่องโหว่ทางด้านความปลอดภัยร้ายแรงบน Malwarebytes ซึ่งเป็น Anti-Malware ชื่อดังรายหนึ่ง และแจ้งไปทาง Malwarebytes ตั้งแต่เดือนพฤศจิกายน 2015 และไม่เกิดความคืบหน้าใดๆ จนกระทั่งหมดเส้นตายของ Google ที่ 90 วัน และ Ormandy ก็ได้ออกมาเล่าถึงรายละเอียดของช่องโหว่เหล่านี้
ช่องโหว่บน Malwarebytes นี้ค่อนข้างร้ายแรงพอสมควร เพราะการอัพเดตซอฟต์แวร์นั้นก็ไม่ได้ทำผ่านการเข้ารหัสหรือมีการตรวจสอบต้นทางแต่อย่างใด ทำให้อาจถูก Man-in-the-Middle ได้ ในขณะที่ช่องโหว่อื่นๆ นั้นก็มีตั้งแต่ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตัวเองได้, ทำ Code Injection ได้ ไปจนถึงทำ Remote Code Execution ได้เลยทีเดียว
ตอนนี้ทาง Malwarebytes ได้ออกมาขอโทษผู้ใช้งานถึงความผิดพลาดของตัวเอง และอาจต้องใช้เวลาอีกถึง 3-4 สัปดาห์ในการอุดช่องโหว่เหล่านี้ให้เรียบร้อย และได้ออกมาประกาศถึงโครงการ Bug Bounty Program ของ Malwarebytes ที่มีรางวัลถึง 1,000 เหรียญสหรัฐที่ https://www.malwarebytes.org/secure/
ทั้งนี้ผู้ใช้งาน Malwarebytes ทั้งหมดก็จะตกอยู่ในความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่ที่ถูกเปิดเผยโดย Google นี้แล้วที่ https://code.google.com/p/google-security-research/issues/detail?id=714 ดังนั้นใครที่ใช้ Malwarebytes อยู่ก็ต้องหาทางหนีทีไล่ดีๆ นะครับ
ที่มา: http://www.theregister.co.uk/2016/02/02/malwarebytes_0day/
