CVE-2023-43687 - Malwarebytes, Nebula - состояние гонки Time-of-Check/Time-of-Use
РЕЗЮМЕ:
Обнаружена проблема в Malwarebytes 4.x и 5.x (и Nebula 2020-10-21 и более поздних версиях). Существует состояние гонки, которое приводит к выполнению кода из-за отсутствия блокировки между проверкой и выполнением файла.
ЗАТРОНУТЫЕ ВЕРСИИ
- Malwarebytes 4 versions < 4.6.14.326
- Malwarebytes 5 versions < 5.1.5.116
- Nebula platform before June 2024, Endpoint Agent version < 2.0.0.64, Protection Service version < 4.6.17.334
ИСПРАВЛЕННЫЕ ВЕРСИИ
- Malwarebytes 4 версии >= 4.6.14.326 | Версия компонента 1.0.2348 , версия пакета обновлений >= 1.0.85245
- Malwarebytes 5 версии >= 5.1.5.116 | Версия компонента 1.0.1252 , версия пакета обновлений >= 1.0.85245
- Платформа Nebula июнь 2024 года, версия Endpoint Agent >= 2.0.0.64, версия Protection Service >= 4.6.17.334
РЕКОМЕНДАЦИИ ПО СМЯГЧЕНИЮ ПОСЛЕДСТВИЙ
Мы рекомендуем обновить затронутые конечные точки до исправленных версий.
ПОДРОБНОСТИ
| CWE | CVS 3.x | Вектор |
| CWE-367: Состояние гонки при проверке времени использования (TOCTOU) | 8.4 Высокий | Местный |