Un autre jour, une autre vulnérabilité. Avez-vous entendu parler du code à distance bug d'exécution a récemment révélé dans toute (sauf la dernière) ESET Endpoint Antivirus 6 pour macOS? La vulnérabilité en question a été identifiée comme CVE-2.016 à 9.892.
La vulnérabilité a été découverte et signalée par Google Sécurité des chercheurs de l'équipe (Jason Geffner et Jan Bee). Quant à savoir pourquoi il était là pour être trouvé en premier lieu – Service esets_daemon a été trouvé pour être statiquement lié à une ancienne version de la bibliothèque de l'analyseur XML POCO.
CVE-2016-9892 expliqué par les experts de la sécurité:
Le service était Sets_demon, qui fonctionne en tant que root, est statiquement lié à une ancienne version de la bibliothèque de l'analyseur XML POCO (https://pocoproject.org/) — Version 1.4.6p1 de 2013-03-06. Cette version de POCO est basée sur Expat (https://expat.sourceforge.net/) version 2.0.1 de 2007-06-05, qui a une analyse de vulnérabilité XML connue du public (CVE-2016-0718) qui permet l'exécution de code arbitraire via le contenu XML malformé.
En outre, "lorsque ESET Endpoint Antivirus tente d'activer sa licence, esets_daemon envoie une requête à https://edf.eset.com/edf. Le service de esets_daemon ne valide pas le certificat du serveur Web, donc un man-in-the-middle peut intercepter la demande et de répondre à l'aide d'un certificat auto-signé HTTPS. Le service esets_daemon analyse la réponse en tant que document XML, permettant ainsi à l'attaquant de fournir le contenu malformé et exploiter CVE-2016-0718 pour atteindre l'exécution de code arbitraire en tant que root."
Atténuation de CVE-2016-9892
CVE-2016-9892 a déjà été fixée. Pour ce faire, ESET a mis à jour la bibliothèque POCO analyse vers la dernière version.
Le fournisseur de sécurité patché le bug dans la version ESET Endpoint Antivirus 6.4.168.0.
chercheurs Google conseille aux utilisateurs de se connecter à partir du changement de produit ici.
Plus d'informations sont disponibles sur https://seclists.org.