別の日, 別の脆弱性. 最近明らかになったリモートコード実行のバグについて聞いたことがありますか (最新のものを除いて) ESETエンドポイントアンチウイルス 6 macOSの場合? 問題の脆弱性はCVE-2016-9892として識別されています.
この脆弱性は、Googleセキュリティチームの研究者によって発見され、報告されました (ジェイソン・ゲフナーとヤン・ビー). そもそもなぜそこにあったのか – esets_daemonサービスが、古いバージョンのPOCOXMLパーサーライブラリに静的にリンクされていることが判明しました.
セキュリティ専門家によるCVE-2016-9892の説明:
esets_daemonサービス, ルートとして実行されます, 古いバージョンのPOCOXMLパーサーライブラリと静的にリンクされています (https://pocoproject.org/) — バージョン1.4.6p1から 2013-03-06. このバージョンのPOCOは、Expatに基づいています (https://expat.sourceforge.net/) バージョン 2.0.1 から 2007-06-05, 公に知られているXML解析の脆弱性があります (CVE-2016-0718) これにより、不正な形式のXMLコンテンツを介した任意のコードの実行が可能になります.
さらに, 「「ESETEndpointAntivirusがライセンスをアクティブ化しようとしたとき, esets_daemonはhttpsにリクエストを送信します://edf.eset.com/edf. esets_daemonサービスは、Webサーバーの証明書を検証しません, そのため、中間者は要求を傍受し、自己署名HTTPS証明書を使用して応答できます。. esets_daemonサービスは、応答をXMLドキュメントとして解析します, これにより、攻撃者は不正な形式のコンテンツを提供し、CVE-2016-0718を悪用して、rootとして任意のコードを実行することができます。.」
CVE-2016-9892に対する緩和策
CVE-2016-9892はすでに修正されています. そうするために, ESETはPOCO解析ライブラリを最新のビルドにアップグレードしました.
セキュリティベンダーは、ESETEndpointAntivirusバージョンのバグにパッチを適用しました 6.4.168.0.
Googleの研究者は、製品の変更からログオンするようにユーザーにアドバイスしています ここ.
詳細については、 https://seclists.org.