Otro día, otra vulnerabilidad. ¿Has oído acerca del fallo ejecución remota de código recientemente se manifiesta en toda (excepto la última) ESET Endpoint Antivirus 6 para macOS? La vulnerabilidad en cuestión ha sido identificado como CVE-2.016-9.892.
La vulnerabilidad fue descubierta y reportados por los investigadores del equipo de seguridad de Google (Jason Geffner y Jan abeja). En cuanto a por qué estaba allí que se encuentran en el primer lugar – Se encontró que el servicio esets_daemon estáticamente vinculado a una versión obsoleta de la biblioteca analizador XML POCO.
CVE-2016-9892 explicado por los expertos en seguridad:
El servicio fue Sets_demon, que se ejecuta como root, está enlazado estáticamente con una versión obsoleta de la biblioteca analizador XML POCO (https://pocoproject.org/) — Versión de 1.4.6p1 2013-03-06. Esta versión de POCO se basa en Expat (https://expat.sourceforge.net/) versión 2.0.1 de 2007-06-05, que tiene un conocimiento público de la vulnerabilidad de análisis XML (CVE-2016-0718) que permite la ejecución de código arbitrario a través de contenido XML con formato incorrecto.
Además, "cuando ESET Endpoint Antivirus intenta activar su licencia, esets_daemon envía una solicitud a https://edf.eset.com/edf. El servicio esets_daemon no valida el certificado del servidor web, por lo que una las personas de mediana man-in-puede interceptar la solicitud y responder utilizando un certificado autofirmado HTTPS. El servicio esets_daemon analiza la respuesta como un documento XML, lo que permite al atacante para suministrar contenido con formato incorrecto y explotar CVE-2016-0718 para lograr la ejecución de código arbitrario como root."
Mitigación contra CVE-2016-9892
CVE-2016-9892 ya ha sido fijado. Para ello, ESET ha mejorado la biblioteca analizar POCO a la última generación.
El proveedor de seguridad parcheado el fallo en la versión de ESET Endpoint Antivirus 6.4.168.0.
Google investigadores aconsejan a los usuarios iniciar sesión desde el cambio del producto aquí.
Más información está disponible en https://seclists.org.