谷歌安全研究员发现,Mac 版本 ESET 杀毒软件存在高危漏洞 CVE-2016-9892 。攻击者可利用拦截 ESET 杀毒软件数据包,并以 XML 解释器漏洞发动中间人攻击,在 Mac 上获取 root 权限远程执行任意代码。目前,ESET 已有补丁更新。
这一漏洞与名为 esets_daemon 的服务有关,该服务能够以 root 用户身份运行,并且和一个老旧版本的 POCO XML 解析器以静态方式对接。旧版本解析器 POCO 1.4.6p1 于 2013 年 3 月发布并存在已被公开的漏洞( CVE-2016-0718 ),可允许攻击者通过恶意 XML 内容执行任意代码。
当杀毒软件 ESET Endpoint Antivirus 运行时, esets_daemon 服务将向 https://edf.eset.com/edf 发送请求,攻击者可以发动中间人攻击使用自签名 HTTPS 证书拦截请求,并通过伪造证书控制连接,从而利用漏洞以 Root 权限执行恶意 XML 代码。
谷歌研究员于 2016 年 11 月 3 日提交了漏洞,ESET 在 2 月 21 日修复了漏洞并发布升级更新 6.4.168.0 版本。因此安装了 ESET Endpoint Antivirus 6 的 Mac 用户应尽快升级至最新版本,避免被攻击者利用。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
from hackernews.cc.thanks for it.