Атакуващият може да прихване съединяването на антивирусната програма със сървърите на ESET и да използва уязвимост в XML библиотеката.
[You must be registered and logged in to see this image.]Специалистите по информационна безопасност на Google Джейсън Гефнър (Jason Geffner) и Жан Би (Jan Bee) разкриха сериозна уязвимост в антивирусния продукт
ESET Endpoint Antivirus 6 (CVE-2016-9892), даваща възможност за отдалечено стартиране и изпълняване на произволен програмен код в Mac компютрите, при това с привилегии на ядрото на операционната система. Осъществяването на атаката е съвсем лесно – достатъчно е да се прихване включването на антивирусната програма към сървърите на ESET и да се използва известна уязвимост в XML библиотеката.
Оказа се, че ESET Endpoint Antivirus 6 е статично свързана с остарялата XML библиотека за синтактичен анализ и не проверява както трябва автентификацията със сървъра. По този начин, на практика всеки може да стартира код с привилегии на ядрото.
Експертите допълват, че esets_daemon използва остаряла версия на библиотеката POCO XML, в която присъства уязвимост с препълване на буфера. И освен това, библиотеката търси лиценза на антивирусната програма на адреси
[You must be registered and logged in to see this link.] com/edf:. Това дава възможност да се осъществи атака от типа „човек по средата“ и като отговор да се изпрати вредоносен файл, понеже демонът не проверява сертификата на сървъра на ESET.
Уязвимостта е оправена във версия ESET Endpoint Antivirus 6.4.168.0.
/kaldata.com
__________________________________________________________________________
[You must be registered and logged in to see this image.]