E安全3月1日讯 谷歌公司的研究人员发现ESET Endpoint Antivirus for macOS中存在一项高危缺陷,可能被未经授权的攻击者用于通过root权限进行远程任意代码执行。ESET方面已经发布更新以解决这项安全漏洞。
这项被记录为CNNVD-201702-947与CVE-2016-9892的安全漏洞于2016年11月由谷歌安全团队的Jason Geffner与Jan Bee两位研究人员所发现。此项漏洞影响到ESET Endpoint Antivirus 6 for macOS,且已经于今年2月21日发布的6.4.168.0版本当中得到修复。
根据专家们所言,该问题与一项名为esets_daemon且以root权限运行的服务有关。该服务与POCO XML解析库的某一旧有版本以静态方式对接。存在漏洞的POCO 1.4.6p1版本发布于2013年,其基于一套受CVE-2016-0718漏洞影响的Expat XML解析器库版本——CVE-2016-0718漏洞允许攻击者通过经过设计的XML内容执行任意代码。
中间人(简称MitM)攻击者可在esets_daemon服务向https://edf.eset.com/edf发送请求且ESET Endpoint Antivirus产品处于运行状态时,利用此项安全漏洞。在这种情况下,该杀毒软件将无法确保Web服务器的证书有效性,并因而导致安全问题。
攻击者可能会拦截该请求,并利用一份自签名HTTPS证书交付恶意XML文件。CVE-2016-0718在此情况下即会被触发,最终导致esets_daemon解析该XML内容时引发恶意代码以root权限得到执行。
由谷歌公司研究人员展示的概念验证代码只显示了如何引发ESET反病毒应用崩溃。
ESET公司已经对该POCO解析库进行了升级,同时配置该产品以验证SSL证书,从而解决了此项安全漏洞。
这已经不是谷歌公司的研究人员第一次在ESET产品当中发现安全漏洞。早在2015年,Tavis Ormandy就发现该公司的Windows与OS X产品当中存在一项高危漏洞,可能被用于实现对目标设备的完全控制。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论