Исследователи команды безопасности Google Джейсон Геффнер и Жан Би нашли брешь в безопасности антивируса ESET. Она позволяет выполнить вредоносный код под root-правами.
Уязвимые версии ESET Endpoint Antivirus 6 статически связаны с устаревшей библиотекой синтаксического анализа XML и не проводят надлежащим образом аутентификацию сервера, тем самым позволяя удаленному неавторизованному атакующему выполнить код с привилегиями ядра.
Тем самым, уязвимость в одной из библиотек представляет опасность для пользователей Mac. esets_daemon использует устаревшую версию библиотеки POCO XML, в которой присутствует уязвимость переполнения буфера (CVE-2016-0718).
Библиотека запрашивает лицензию по адресу https://edf.eset.com/edf, а злоумышленник тем временем может осуществить атаку «человек посередине». Для этого он отправляет в качестве ответа данные с последующим выполнением кода с привилегиями на уровне ядра.
Поскольку демон не проверяет сертификат ESET, то злоумышленник спокойно может выдать себя за него. Уязвимость исправлена в версии 6.4.168.0, поэтому рекомендуем обновить антивирус до самой актуальной версии. [SL]
Источник: