Google fortsetter letingen etter sikkerhetsproblemer knyttet til antivirus og annen sikkerhetsprogramvare. Denne uken offentliggjorde selskapet detaljer om hvordan et velkjent antivirusprodukt for MacOS kunne utnyttes til å fjernkjøre vilkårlig kode med root-privilegier på datamaskinen.
Les også: Disse antivirusproduktene gjør nettleseren mindre sikker
XML-problem
ESET Endpoint Antivirus 6, som det aktuelle produktet heter, brukte fram til den 21. februar en utdatert versjon av C++-biblioteket POCO, som var basert på versjon 2.0.1 av biblioteket Expat XML Parser. Denne versjonen av Expat er fra 2007 og inneholder en sårbarhet som åpner for kjøring av vilkårlig kode via spesielt utformet XML-innhold. Denne sårbarheten har i alle fall blitt offentlig omtalt siden mai i fjor.
Ved forsøk på lisensaktivering, bruker antivirusverktøyet Expat til å lese svar det mottar fra ESETs servere. Dette ble gjort over en HTTPS-forbindelse, men uten validering av webserversertifikatet, noe som kunne gjøre det mulig for en angriper å sende ESET Endpoint Antivirus 6 et ondsinnet XML-dokument ved å ta i bruk et man-in-the-middle-angrep.
Sårbarheten ble fjernet med versjon 6.4.168.0 av ESET Endpoint Antivirus, ved at den nyeste versjonen av POCO ble tatt i bruk. Dette skjedde nesten tre måneder etter at ESET ble varslet om sårbarheten.
