Un altro giorno, un'altra vulnerabilità. Avete sentito parlare del codice in modalità remota bug recentemente rivelato in tutta la (tranne l'ultima) ESET Endpoint Antivirus 6 per MacOS? La vulnerabilità in questione è stato identificato come CVE-2016-9892.
La vulnerabilità è stata scoperta e segnalata dai ricercatori Google Security Team (Jason Geffner e Jan Bee). Per quanto riguarda il motivo per cui era lì per essere trovato in primo luogo – servizio esets_daemon è stato trovato per essere staticamente collegato a una versione non aggiornata della libreria parser XML POCO.
CVE-2016-9892 spiegato dagli esperti di sicurezza:
Il servizio è stato Sets_demon, che viene eseguito come root, è staticamente legata con una versione non aggiornata della libreria parser XML POCO (https://pocoproject.org/) — Versione 1.4.6p1 da 2013-03-06. Questa versione di POCO si basa su Expat (https://expat.sourceforge.net/) versione 2.0.1 da parte di 2007-06-05, che ha un noto pubblicamente vulnerabilità di parsing XML (CVE-2016-0718) che permette l'esecuzione di codice arbitrario tramite contenuto XML non valido.
Inoltre, "quando ESET Endpoint Antivirus tenta di attivare la licenza, esets_daemon invia una richiesta a https://edf.eset.com/edf. Il servizio esets_daemon non convalida il certificato del server web, così un uomo-in-the-middle grado di intercettare la richiesta e rispondere utilizzando un certificato HTTPS auto-firmato. Il servizio esets_daemon analizza la risposta come un documento XML, consentendo in tal modo l'attaccante per la fornitura di contenuti malformati e sfruttare CVE-2016-0718 per ottenere l'esecuzione di codice arbitrario come root."
Mitigazione contro CVE-2016-9892
CVE-2016-9892 è già stato fissato. Per farlo, ESET ha aggiornato la libreria parsing POCO all'ultima build.
Il fornitore di sicurezza patchato il bug nella versione ESET Endpoint Antivirus 6.4.168.0.
Google ricercatori consigliano agli utenti di accedere dal cambiamento del prodotto qui.
Maggiori informazioni sono disponibili sul https://seclists.org.