Исследователи команды безопасности Google Джейсон Геффнер и Жан Би обнаружили уязвимость в антивирусном приложении ESET Endpoint Antivirus 6, позволяющую удаленно выполнить код на Mac с привилегиями ядра. Осуществить атаку очень просто – достаточно перехватить подключение продукта к серверам ESET и проэксплуатировать уязвимость в библиотеке XML.

Как сообщает Securitylab, уязвимость в одной из старых библиотек в составе антивируса ESET для Mac может представлять серьезную опасность для пользователей компьютеров Apple.

«Уязвимые версии ESET Endpoint Antivirus 6 статически связаны с устаревшей библиотекой синтаксического анализа XML и не проводят надлежащим образом аутентификацию сервера, тем самым позволяя удаленному неавторизованному атакующему выполнить код с привилегиями ядра», — сообщили исследователи.

По словам экспертов, esets_daemon использует устаревшую версию библиотеки POCO XML, в которой присутствует уязвимость переполнения буфера (CVE-2016-0718). Помимо прочего, библиотека запрашивает лицензию по адресу https://edf.eset. com/edf. Злоумышленник может осуществить атаку «человек посередине» и отправить в качестве ответа данные для эксплуатации с последующим выполнением кода с привилегиями ядра.

Демон не проверяет сертификат сервера ESET, что дает возможность атакующему выдать себя за сервер ESET и предоставить клиенту самоподписанный SSL-сертификат. К своему отчету Геффнер приложил эксплоит, который провоцирует краш антивируса для Mac.

Осуществив атаку, злоумышленник может отправить на Mac вредоносный контент, взломать уязвимую библиотеку, а затем выполнить код. Всем, кто по каким-то причинам пользуется антивирусом для macOS, настоятельно рекомендуется как можно быстрее обновиться до исправленной версии ESET Endpoint Antivirus 6.4.168.0.