Malwarebytes zou pas binnen een maand een patch kunnen leveren voor kwetsbaarheden opgespoord in zijn anti-malwareprogramma. Gebruikers worden aangeraden om hun instellingen aan te passen.
Project Zero, Googles opsporingsprogramma voor bugs, bracht Malwarebytes in november op de hoogte van het lek en publiceerde deze week een openbaar en gecensureerd rapport dat de risico’s in de anti-malware detailleert. Een Project Zero onderzoeker ontdekte dat het anti-malwareprogramma updates binnenhaalde via een onbeveiligd HTTP-kanaal, waardoor gebruikers via verschillende exploits het slachtoffer konden worden van een “man-in-the-middle”-aanval.
Malwarebytes heeft een aanzienlijk klantenbestand. Volgens de laatste cijfers draait zijn anti-malware op 250 miljoen toestellen. Marcin Kleczynski, CEO en oprichter van het bedrijf, zegt dat het inschakelen van “self-protection” in de instellingen het probleem zou moeten verhelpen, terwijl Malwarebytes aan een permanente oplossing werkt.
Kleczynski verontschuldigde zich voor het lek en heeft als reactie op het nieuws een eigen opsporingsprogramma in het leven geroepen. Personen die een kwetsbaarheid in een van de producten van Malwarebytes vinden en rapporteren kunnen tot 1.000 dollar verdienen.
Bron: ZDnet