Исследователи команды безопасности Google Джейсон Геффнер и Жан Би обнаружили уязвимость в антивирусе ESET Endpoint Antivirus 6, позволяющую удаленно получить доступ к ядру macOS. Для осуществления атаки нужно перехватить подключение продукта к серверам ESET и проэксплуатировать уязвимость в библиотеке XML.
«Уязвимые версии ESET Endpoint Antivirus 6 статически скомпонованы с устаревшей библиотекой парсинга XML и не выполняют надлежащую аутентификацию, позволяя удаленному и неавторизованному атакующему осуществить выполнение произвольного кода с root-правами»Уязвимые версии антивирусов используют парсер POCO XML версии 1.4.6p1 от 2013 года, который является форком от Expat XML 2.0.1, версия 2007 года. Недавно было обнаружено, что библиотека Expat содержит уязвимость CVE-2016-0718, которая позволяет злоумышленнику выполнить произвольный код, с помощью вредоносного XML-контента. Под угрозу попадает POCO XML, а значит, под угрозу попадают продукты ESET для Mac.
Джейсон Геффнер
Библиотека POCO XML отвечает за активацию и верификацию лицензий, отправляя запрос на https://edf.eset.com/edf. Однако, данные, которые возвращает сервер, могут использоваться для эксплуатации бага в XML парсере, так как демон не проверяет сертификат сервера лицензий ESET.
ESET уже выпустили исправление для проблемы, которая в итоге получила идентификатор CVE-2016-9892. Всем пользователям настоятельно рекомендуется обновиться до версии ESET Endpoint Antivirus 6.4.168.0.