Résumé
Avis aux clients ESET 2017-0003
14 février 2017
Gravité : Critique
ESET a été mis au courant de vulnérabilités potentielles dans ses produits grand public et professionnels pour macOS. Après une inspection détaillée, ESET a identifié les causes des problèmes et a préparé des produits corrigés que ses utilisateurs peuvent télécharger et installer.
Avis aux clients
Programmes et versions concernés
- Problème d'analyse XML et problème de vérification SSL
- ESET Cyber Security et ESET Cyber Security Pro 6.1.x - 6.3.70.1
- ESET Endpoint Antivirus pour macOS et ESET Endpoint Security pour macOS 6.0.x - 6.3.85.1
- Problème de script d'installation
- ESET Cyber Security et ESET Cyber Security Pro 6.0.x - 6.3.70.1
- ESET Endpoint Antivirus pour macOS et ESET Endpoint Security pour macOS 6.0.x - 6.3.85.1
- ESET NOD32 Antivirus Business Edition pour macOS 4.x
- Problème d'écoute de proxy
- ESET Cyber Security et ESET Cyber Security Pro 6.0.x - 6.3.70.1
- ESET Endpoint Antivirus pour macOS et ESET Endpoint Security pour macOS 6.0.x - 6.3.85.1
Solution
ESET a préparé des versions corrigées de ses produits grand public et professionnels pour macOS et recommande aux utilisateurs de les télécharger à partir de la section de téléchargement du site www.eset.com et de les installer dès que possible.
Les versions suivantes contiennent les correctifs :
- ESET Cyber Security et ESET Cyber Security Pro 6.4.128.0 et versions ultérieures(publiées le 13 février 2017)-View instructions to Upgrade to the latest version
- ESET Endpoint Antivirus pour macOS et ESET Endpoint Security pour macOS 6.4.168.0 et versions ultérieures(publiées le 14 février 2017)-View instructions to Upgrade to the latest version
Détails
Les problèmes suivants ont été signalés à ESET, analysés et corrigés :
- En utilisant une version obsolète de la bibliothèque d'analyse XMLtierce dans les produits ESET pour macOS, il était possible pour un attaquant de créer un fichier XML spécialement conçu, qui, lorsqu'il est chargé par le démon d'ESET, exécute son code malveillant avec des privilèges root. ESET a corrigé ce problème en utilisant une version corrigée de la bibliothèque d'analyse XML.
- L'assistant d'installation des produits ESET pour macOS exécute un script situé dans /tmp/esets_setup.sh et charge la configuration à partir de /tmp. Si un utilisateur non privilégié a créé ces fichiers au préalable, une installation ultérieure exécutée par un utilisateur privilégié chargerait et exécuterait ces fichiers. ESET a corrigé ce problème en n'utilisant plus de fichier script, mais en créant un fichier de données contenant les paramètres d'installation qui sont lus et interprétés par esets_daemon lors de son premier chargement.
- Les produits ESET pour macOS ne vérifiaient pas les certificats SSL lors de la communication avec les serveurs ESET. De cette manière, un attaquant pouvait effectuer une attaque de type man-in-the-middle et falsifier les données reçues par le produit. ESET a corrigé ce problème en mettant en œuvre la vérification des certificats SSL lors de la communication avec les serveurs ESET.
- Même si les fonctions de proxy sont désactivées dans la configuration des produits ESET pour macOS, le démon esets_proxy continue d'écouter sur 0.0.0.0:57856, ce qui l'expose à des tentatives de connexion non locales. ESET a corrigé ce problème en faisant écouter le démon sur 127.0.0.1 au lieu de 0.0.0.0 et en fermant tous les ports lorsque les fonctions de proxy ont été désactivées.
À notre connaissance, il n'existe pas d'exploitation de ces vulnérabilités dans la nature.
Commentaires et assistance
Si vous avez des commentaires ou des questions sur ce problème, veuillez nous contacter en utilisant le Forum ESET Security, ou via le support local d'ESET.
Remerciements
ESET valorise les principes de divulgation responsable au sein de l'industrie de la sécurité et souhaite remercier Jan Bee et Jason Geffner de l'équipe de sécurité de Google qui ont signalé ces problèmes.
Journal des versions
Version 1.0 (14 février 2017) : Version initiale de ce document
