資安業者Malwarebytes在去年11月收到Google抓蟲小組(Project Zero)的通知,指出該公司的Anti-Malware防毒軟體含有多個安全漏洞,在經過90天的揭露期限後,Malwarebytes仍未能完全修補,為了能夠及早發現漏洞進行修補,該公司祭出抓蟲獎勵計畫(Malwarebytes Bug Bounty program),以獎金來鼓勵第三方安全研究人員幫忙找出漏洞。
Google安全研究人員Tavis Ormandy在去年11月向Malwarebytes提報該公司的Anti-Malware防毒軟體含有多個安全漏洞,Project Zero的揭露原則是在把漏洞資訊提交給軟體開發商的90天後就會公布漏洞細節,Ormandy亦已於本周公布了Anti-Malware軟體的漏洞細節。
然而,Malwarebytes創辦人暨執行長Marcin Kleczynski於本周坦承,這段期間他們只修補了伺服器端的多個漏洞,藏匿於客戶端軟體的安全漏洞還要3至4周的時間才能修補。
Kleczynski說,尚未修補的漏洞雖然允許駭客注入惡意程式,但透過該漏洞的攻擊一次只能鎖定一台裝置,採用Premium版本的Anti-Malware用戶只要啟用自我保護(self-protection)功能就能減緩相關漏洞所帶來的危害。
他進一步強調,對軟體開發而言,各種安全漏洞的存在是個殘酷的事實,這一年來該公司的研究人員就已發現許多安全漏洞,透過漏洞揭露計畫的執行將可加速發現各種漏洞,也讓企業得以修補。因此他們決定推出抓蟲獎勵計畫,鼓勵第三方安全研究人員提報Malwarebytes軟體中的安全漏洞。
此一抓蟲獎勵計畫將根據漏洞的嚴重程度與開採可能性提供每一漏洞100到1000美元不等的獎金。此外,Malwarebytes也將打造自動化的臭蟲發現軟體來改善軟體品質。
不只Malwarebytes受到漏洞困擾,其他的資安業者也曾被發現安全漏洞,包括卡巴斯基實驗室、ESET、Avast、AVG與Intel Security等,近期趨勢科技PC-cillin的密碼管理工具也被Google安全專家發現含有漏洞。