Le serial hacker de Google épingle Malwarebytes

Le par  |  1 commentaire(s)
Hacker

Les antivirus sont des logiciels également concernés par les vulnérabilités de sécurité. Le hacker Tavis Ormandy ajoute Malwarebytes à sa liste. En réponse, un programme de Bug Bounty est lancé.

Avast, AVG, FireEye, ESET, Trend Micro ou encore Kaspersky Lab. Tavis Ormandy ajoute désormais Malwarebytes à son tableau de chasse. Actuellement membre de Project Zero de Google, le chercheur en sécurité a identifié quatre problèmes de sécurité avec le produit Anti-Malware de Malwarebytes.

Malwarebytes-logoParmi ceux-ci, une vulnérabilité de type élévation de privilèges mais surtout le fait que les mises à jour de Malwarebytes ne sont pas signées ou téléchargées à travers un canal sécurisé. Pour Tavis Ormandy, cette diffusion via HTTP permet une attaque de type man-in-the-middle. Un attaquant pourrait alors remplacer les fichiers transmis.

Malwarebytes indique que Tavis Ormandy a fait part début novembre de ses trouvailles dans la version grand public de Malwarebytes Anti-Malware. Les vulnérabilités ont été corrigées quelques jours après côté serveur. Une nouvelle version du produit de sécurité (2.2.1) est par contre encore testée afin de corriger les problèmes côté client.

Un déploiement est prévu pour dans les prochaines semaines. Le PDG et fondateur de Malwarebytes pondère la gravité des vulnérabilités mais ne remet pas en cause les découvertes du hacker de Google. " Les vulnérabilités sont la dure réalité du développement de logiciels. […] Bien que de telles choses se produisent, ce ne devrait pas arriver à nos utilisateurs. "

Pour être mieux armé à l'avenir, Malwarebytes décide de lancer un programme de Bug Bounty. Le but est d'encourager les chercheurs en sécurité tiers à rapporter des vulnérabilités affectant les produits Malwarebytes, et ce de manière responsable. Autrement dit, sans tomber dans la divulgation publique.

En fonction de la gravité des vulnérabilités rapportées et leur exploitabilité, les récompenses vont de 100 à 1 000 dollars. Seulement… jugeront certains.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1878759
" Le but est d'encourager les chercheurs en sécurité tiers à rapporter des vulnérabilités affectant les produits Malwarebytes, et ce de manière responsable"

Une "manière responsable" de faire, c'est assurément pas de demander aux autes de faire son boulot à sa place et à l'oeil....

La sécurité / recherche de vulnérabilité d'un logiciel, ça fait intégrante du service fourni par l’éditeur, à sa charge entière.

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]