Компания Malwarebytes работает над исправлением серьезных уязвимостей в своем антивирусном продукте. Ошибки обнаружил эксперт из команды Google Project Zero Тэвис Орманди.
Исследователю безопасности удалось выяснить, что обновления продукта Malwarebytes Antivirus не были подписаны с помощью цифровой подписи компании и загружались по незащищенному HTTP-соединению. Все это делает пользователей антивируса подверженным атаке типа Man-In-The-Middle — злоумышленники могли легко подменить пакеты обновлений.
Уязвимости были обнаружены в ноябре 2015 года. Однако сотрудникам Malwarebytes не хватило 90 дней для того, чтобы исправить дыры безопасности в своем продукте, поэтому исследователь Google Тэвис Орманди (Tavis Ormandy) опубликовал информацию о них в своем блоге.Читать полностью »