Jump to content

Уязвимость в антивирусе ESET позволяет выполнить на Mac код с привилегиями ядра


Recommended Posts

Исследователи команды безопасности Google Джейсон Геффнер и Жан Би обнаружили уязвимость в антивирусном продукте ESET Endpoint Antivirus 6 (CVE-2016-9892), позволяющую удаленно выполнить код на Mac с привилегиями ядра. Осуществить атаку очень просто – достаточно лишь перехватить подключение продукта к серверам ESET и проэксплуатировать уязвимость в библиотеке XML.

«Уязвимые версии ESET Endpoint Antivirus 6 статически связаны с устаревшей библиотекой синтаксического анализа XML и не проводят надлежащим образом аутентификацию сервера, тем самым позволяя удаленному неавторизованному атакующему выполнить код с привилегиями ядра», - сообщили исследователи.

По словам экспертов, esets_daemon использует устаревшую версию библиотеки POCO XML, в которой присутствует уязвимость переполнения буфера (CVE-2016-0718). Помимо прочего, библиотека запрашивает лицензию по адресу https://edf.eset. com/edf:. Злоумышленник может осуществить атаку «человек посередине» и отправить в качестве ответа данные для эксплуатации CVE-2016-0718 с последующим выполнением кода с привилегиями ядра.

Демон не проверяет сертификат сервера ESET, что дает возможность атакующему выдать себя за сервер ESET и предоставить клиенту самоподписанный SSL-сертификат. Осуществив MITM-атаку, злоумышленник может отправить на Mac вредоносный контент, взломать уязвимую библиотеку, а затем выполнить код. Уязвимость исправлена в версии 6.4.168.0.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...