Föråldrat XML-bibliotek inkluderat i den senaste uppdateringen av ESET Endpoint Antivirus 6 Enligt Googles forskare. Angripare som använder en man-i-mitt-attack kan fånga upp överföringen av licensuppgifter, vilket gör att en maskin som maskerar sig som en licensserver kan överföra data som inte är tillgänglig.
I det här fallet kan ett förfalskat HTTPS-certifikat skickas, vilket gör att angriparen kan ta kontroll över anslutningen. En efterföljande överföring kan innehålla ett skadligt skapat XML-paket som tillåter exekvering av inbyggd kod.
“När ESET Endpoint Antivirus försöker aktivera sin licens skickar esets_daemon en begäran till https://edf.eset.com/edf”, rapporterade Jason Geffner och Jan Bee från Googles säkerhetsteam. “Tjänsten esets_daemon validerar inte webbserverns certifikat, så en man i mitten kan fånga upp förfrågningar och svar med ett självsignerat HTTPS-certifikat. Tjänsten esets_daemon analyserar svaret som ett XML-dokument, vilket gör att en angripare kan leverera felaktigt innehåll. “
Sårbarheten upptäcktes av Google och rapporterades till ESET i början av november 2016. En patch för att åtgärda problemet gjordes tillgänglig för forskare i början av februari med en release den 21 februari.
Attacken behöver inte skräddarsys för en specifik maskin, som andra Mac-programpaket kräver. Allt som krävs är medvetenhet om att målet kör ESET-verktyget och möjligheten att använda en “man-in-the-middle”-attack, till exempel en offentlig wi-fi-hotspot.
ESET släppte en patch för det här problemet den 21 februari innan sårbarheten offentliggjordes. Användare bör se till att ESET Endpoint Antivirus version 6.4.168.0 är installerad och inte någon tidigare version.
Källa: appleinsider
