بنا به گزارش محققان امنیتی گوگل وجود یک نقص امنیتی در آنتیویروس ESET به مهاجمان اجازه میدهد از طریق حمله مردمیانی به سیستم عامل مک اپل دسترسی از راه دور ریشه پیدا کنند.
در واقع مهاجمان میتوانند با قطع اتصال آنتیویروس ESET با سرورهای شرکت، دسترسی سطح ریشه برای اجرای کد دلخواه خود را به دست آورند. این حمله به دلیل وجود آسیبپذیری سرریز بافر در کتابخانه XML با کد CVE-2016-0718 امکانپذیر است.
به گفته کارشناسان به دلیل استفاده سرویس eset_daemon از نسخه قدیمی کتابخانه POCO XML که دارای آسیبپذیری بوده، این حمله امکانپذیر است.
همچنین آنها دریافتند زمانی که آنتیویروس ESET قصد فعالسازی لایسنس محصول را دارد، eset_daemon، درخواستی به آدرس https://edf.eset.com/edf ارسال میکند. در این میان با تائید نشدن اعتبار گواهینامه وب سرور، مهاجم با توقف درخواست و با استفاده از یک گواهینامه HTTPS خود امضا به آن پاسخ میدهد. سپس سرویس eset_ daemon این پاسخ را بهعنوان یک سند XML تجزیه میکند و اجازه میدهد مهاجم با تولید محتوایی ناقص از آسیبپذیری CVE-2016-0718 برای اجرای کد دلخواه سوءاستفاده کند.
تیم امنیتی گوگل کد اثبات مفهومی این آسیبپذیری را منتشر کرده است . علاقه مندان میتوانند توضیحات کامل را در اینجا مطالعه کنند.
در همین راستا ESET نیز بلافاصله مشکل پیش آمده را در آنتیویروس نسخه ۶.۲.۱۶۸.۰ خود برطرف کرده و از کاربران خواسته است تا در اولین فرصت سیستم خود را بهروزرسانی کنند.