旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机

本文讲的是旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机

对黑客而言,有什么能比在一个应用广泛的软件中不费吹灰之力发现漏洞更让人激动的了?

如今,在旧版Mac ESET杀毒软件中就发现了这样一个易被利用的高危漏洞,允许任何未经身份验证的攻击者运用Mac系统中的root特权远程执行任意代码。

 

漏洞描述

该漏洞的漏洞编号为CVE-2016-9892,是由谷歌安全团队的Jason Geffner和Jan Bee两位研究人员于2016年11月在为 macOS 系统设计的 ESET Endpoint Antivirus 6软件版本中发现。

ESET Endpoint Antivirus是ESET公司专为中小企业和集团企业客户开发的新一代防毒产品。本产品可根据风险数据库的比对结果,采用为安全文件设置白名单的扫描技术,以提升系统整体运行效能。 ESET Endpoint Antivirus 6存在远程代码执行漏洞,远程未经身份验证的攻击者可利用漏洞以易受攻击的客户端上的root身份执行任意代码执行。

据悉,攻击者可以通过中间人攻击方式来进行针对性的入侵,不仅拦截许可证书的数据传输,还能够让一台机器伪装成许可服务器进行虚假数据传输,后续的数据传输还可能包含有允许执行 Root 级代码的恶意 XML 包。

根据分析发现,该实际问题与一项名为“esets_daemon”且以root权限运行的服务有关。该服务静态连接一个旧版本的POCO XML解析库,存在漏洞的POCO 1.4.6p1版本发布于2013年3月。

该POCO版本是基于一套受CVE-2016-0718漏洞影响的Expat XML解析器库2.0.1版本。Expat拒绝服务及任意代码执行漏洞(CVE-2016-0718)允许攻击者通过经过设计的XML内容执行任意代码。

现在,当esets_daemon服务在ESET Endpoint Antivirus产品处于运行状态时向https://edf.eset.com/edf发送请求,中间人攻击者利用此项安全漏洞拦截该请求,并利用一份自签名的HTTPS证书交付恶意XML文件。

在此情况下,CVE-2016-0718就会被触发,最终导致esets_daemon解析该XML内容时引发恶意代码以root权限得到执行。这种攻击是可能的,因为在这种情况下,该杀毒软件将无法确保Web服务器的证书有效性,因此会导致安全问题。

以下为两名研究人员的解释:

脆弱版本的ESET Endpoint Antivirus 6静态连接一个过时的XML解析库,无法执行适当的服务器身份验证,能够允许远程未经身份验证的攻击者用客户端上的root身份执行任意代码执行。

现在,攻击者控制了连接,他们就可以发送恶意内容到Mac设备中劫持XML解析器和执行代码作为root。谷歌安全研究人员已经展示了概念验证代码(POC),但是它只显示了如何引发ESET反病毒应用崩溃。

后续修复

据了解,谷歌的研究人员发现这个漏洞以后,已经于 2016 年 11 月初提交给了 ESET,ESET公司则在 2 月 21 日发布的补丁中已经对该POCO解析库进行了升级,同时配置该产品以验证SSL证书,从而解决了此项安全漏洞。需要注意的是,所有安装了 ESET 软件的 Mac 电脑都有可能被该漏洞攻击,因此已经安装了 ESET Endpoint Antivirus 6 的 Mac 用户最好尽快升级至 6.4.168.0 版本。

据悉,这已经不是谷歌公司的研究人员第一次在ESET产品当中发现安全漏洞。早在2015年6月,谷歌安全专家Tavis Ormandy就发现该公司的Windows与OS X产品当中存在一项高危漏洞——“minifilter”,攻击者可以通过该漏洞执行远程访问。minifilter出现在ESET防病毒软件和安全应用的软件产品中,主要用于拦截和分析写入和读取HDD或者SSD的数据,如果数据是可执行的那么代码就会自动运行,同时minifilter还确保ESET的代码是否安全完整。

 

原文发布时间为:2017年3月1日

本文作者:小二郎

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-03 22:52:17

旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机的相关文章

暴风新旧版更换完毕总计超4000万用户换装

7月2日消息,暴风公司宣布已初步完成新旧版本的更换,截止7月1日晚,共有近4000万暴风用户更换了更绿色.更安全的暴风影音无后台版软件.其中,有68392名用户,通过快递形式领取到了暴风公司免费提供的光盘,很多用户在论坛上晒自己收到的光盘.与此同时,为了让更多用户可以第一时间得到特别版的光盘,暴风公司联合地方的强势媒体,启动了北京.上海.广州等五个城市的地面发放活动,预计将现场发放超过15万张免费光盘.本周末,成都和武汉两城市将举行最后两场现场免费发放活动. 暴风公司市场总监夏济表示,暴风影音无

iOS4对旧版iPhone支持不佳苹果遭用户起诉

北京时间11月5日早间消息,据国外媒体报道,因iOS 4在iPhone 3G和3GS上表现不佳,苹果遭到用户起诉. 苹果于6月中旬发布了最新版移动操作系统iOS 4.iPhone 3G和3GS用户在升级该系统后,纷纷表示存在键盘反应时间变慢.未锁定屏幕卡死.耗电量提高等问题.本周五,美国加利福尼亚州圣迭戈居民比安卡·沃福德(Bianca Wofford)起诉苹果,称该公司违反了<消费者法律救济法案>(Consumer Legal Remedies Act),涉嫌开展不公平商业活动和欺诈广告宣传

微软即将逐步停止安全支持旧版IE浏览器

在北京时间的8月8日上午消息,微软方面正式宣布为了促使用户能够使用版本更新的IE浏览器,公司将会逐步停止安全支持旧版IE浏览器. 微软方面表示,从2016年1月12日开始,在现有的Windows操作系统和IE浏览器中,下述组合将能够继续获得微软安全支持: Windows Vista SP2和Internet Explorer 9 Windows Server 2008 SP2和Internet Explorer 9 Windows 7 SP1和Internet Explorer 11 Windo

微软将停止支持旧版IE浏览器 或引发用户不满

中介交易 SEO诊断 淘宝客 云主机 技术大厅 新浪科技讯 北京时间8月8日上午消息,微软宣布,为了促使用户使用版本更新的IE浏览器,该公司将逐步停止对旧版IE浏览器的安全支持. 微软表示,从2016年1月12日起,现有的Windows操作系统和IE浏览器中,下述组合能够继续获得支持: Windows Vista SP2和Internet Explorer 9 Windows Server 2008 SP2和Internet Explorer 9 Windows 7 SP1和Internet E

旧版ECShop漏洞影响众多B2C商城 360提示网站升级系统

3月29日,360网站安全检测平台发布漏洞警报称,国内 大量B2C网上商城正面临高危漏洞威胁,可能导致网站被黑客入侵控制.消费者帐号密码等数据泄露.据悉,这部分网站使用了老版本ECShop网店 建站系统,至今未修复一个曝光 多年的"本地文件包含漏洞",为此360网站安全检测平台已通知客户升级ECShop版本,并提供更便捷的代码修复方案.360网站安全检测平台服务网址:http://webscan.360.cn据了解,ECShop是业界知名的B2C开源网店系统,适合企业及个人快速构建个性

旧版iOS设计界面被迫重新加入扁平和毛玻璃效果

硅谷网讯 对于设计业界来说,iOS7的发布是一个大事件.早在几个月前测试版放出时,就在设计师社区引发了一场讨论.众多基于旧版iOS设计风格而制作的界面,被迫重新设计加入扁平和毛玻璃效果.这两天新系统已经正式推出,一些应用新版界面已经同时上架. 在苹果的桌面系统Mac OS X上面,很多在Windows下自成一派的应用,都要经过重新设计,以尽力符合苹果的界面标准.一些应用看起来就好像是从另一个星球来的一样. 针对微软Windows Phone和Windows 8Modern界面而设计的应用也是如此

发布火狐3.6.13版,修复了3.6.12版存在的13个安全漏洞

国外媒体报道,火狐(Firefox)浏览器开发商Mozilla基金会今天表示,已发布火狐3.6.13版,该升级版修复了3.6.12版存在的13个安全漏洞,其中11个危害级别为"危急"(critical),1个为"高级" (high),另1个为"中等"(moderate). Mozilla称,利用这11个危急漏洞,网络犯罪者可向用户发起远程攻击,进而在用户机器中安装恶意软件.在此次修复的13个安全漏洞中,其中一个Mozilla以为在今年3月已经修复

Mozilla为旧版火狐浏览器发布安全更新

Mozilla公司近日面向旧版本火狐浏览器推出了五款安全更新补丁.同时另外一家安全公司Secunia则警告用户称最新版火狐3.6中可能存在一个危险程度极高的安全漏洞.今年一月份,Mozilla公司曾扬言称不会再对火狐3.0等老版本浏览器提供技术支持,不过本周三,Mozilla公司还是为火狐浏览器的3.5.8,以及3.0.18等版本的旧款浏览器发布了数款更新补丁,并表示旧版版本中有关的漏洞在1月21日发布的最新版火狐3.6浏览器中已经被修正.这次的更新主要面向 五个旧版浏览器的安全漏洞,其中有三个

Win8 删除旧版应用与清理应用缓存

  本篇文章讲述了和WindowsApps文件夹有关的Win8系统常见的几个问题和解决办法.参考了百度文库,百度经验,以及软媒IT之家论坛的帖子,主要分享了"删除旧版Win8应用";"清理Win8应用缓存";"归还 WindowsApps 权限"这三个问题,感谢原作者以及为这些问题的解决作出过贡献的朋友! 如果你使用Windows 8 一段时间后发现系统所在盘空间越来越小--可以参考本文章清理下! 删除旧版Win8应用 Win8应用安装的目录在系