[CA6333] macOS向けESET製品におけるリモート実行および権限昇格の脆弱性が修正されました。

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

概要

ESET カスタマーアドバイザリー 2017-0003
2017年2月14日
深刻度クリティカル

ESETは、macOS向けのコンシューマ向けおよびビジネス向け製品に潜在的な脆弱性があることを知らされました。詳細な調査の結果、ESETは問題の原因を特定し、ユーザーがダウンロードしてインストールできるように修正済みの製品を用意しました。

カスタマーアドバイザリ

影響を受けるプログラムとバージョン

  • XML解析の問題およびSSL検証の問題
    • ESET Cyber Security および ESET Cyber Security Pro 6.1.x - 6.3.70.1
    • ESET Endpoint Antivirus for macOS および ESET Endpoint Security for macOS 6.0.x - 6.3.85.1
  • インストールスクリプトの問題
    • ESET Cyber Security および ESET Cyber Security Pro 6.0.x - 6.3.70.1
    • ESET Endpoint Antivirus for macOS および ESET Endpoint Security for macOS 6.0.x - 6.3.85.1
    • ESET NOD32 アンチウイルス Business Edition for macOS 4.x
  • プロキシリスニングの問題
    • ESET Cyber Security および ESET Cyber Security Pro 6.0.x - 6.3.70.1
    • ESET Endpoint Antivirus for macOS および ESET Endpoint Security for macOS 6.0.x - 6.3.85.1 の問題

ソリューション

ESET は、コンシューマ向け製品およびビジネス向け製品の macOS 向け修正ビルドを用意しました。www.eset.comのダウンロードセクションからダウンロードし、できるだけ早くインストールすることをお勧めします。

以下のビルドに修正が含まれています:

詳細

以下の問題がESETに報告され、分析および修正されました:

  • ESETのmacOS向け製品において、サードパーティのXML解析ライブラリの古いビルドを使用することで、攻撃者が特別に設計されたXMLファイルを作成し、ESETのデーモンが読み込むと、root権限で悪意のあるコードが実行される可能性がありました。ESETは、パッチを適用したXML解析ライブラリのビルドを使用することで、この問題を修正しました。
  • macOS向けESET製品のインストールウィザードは、/tmp/esets_setup.shにあるスクリプトを実行し、/tmpから設定を読み込みます。非特権ユーザがこのようなファイルを事前に作成した場合、特権ユーザがその後にインストールを実行すると、これらのファイルが読み込まれ、実行されてしまいます。ESETはこの問題を修正し、スクリプトファイルを使用せず、インストール設定を含むデータファイルを作成し、esets_daemonが最初の読み込み時に読み込んで解釈するようにしました。
  • macOS 版 ESET 製品が、ESET サーバと通信する際に SSL 証明書を検証していませんでした。このため、攻撃者が中間者攻撃を行い、製品が受信したデータを偽装する可能性がありました。ESETは、ESETサーバーとの通信時にSSL証明書の検証を実装することで、この問題を修正しました。
  • macOS向けESET製品のセットアップでプロキシ機能を無効にしても、esets_proxyデーモンが0.0.0.0:57856でリッスンし続け、ローカル以外の接続試行にさらされる可能性がありました。ESETは、デーモンが0.0.0.0の代わりに127.0.0.1をリッスンし、プロキシ機能が無効になっている場合はすべてのポートを閉じることで、この問題を修正しました。

我々の知る限り、これらの脆弱性を利用した既存のエクスプロイトは存在しない。

フィードバックとサポート

この問題に関するフィードバックやご質問は、ESET Security Forum、またはローカルのESETサポートまでお問い合わせください。

謝辞

ESETは、セキュリティ業界における責任ある情報開示の原則を尊重し、これらの問題を報告したGoogle Security TeamのJan Bee氏とJason Geffner氏に感謝の意を表します。

バージョンログ

バージョン1.0(2017年2月14日):この文書の初期バージョン

前回更新日: Apr 11, 2025

その他のリソース

ユーザーガイド

ESETフォーラム

YouTube動画
サポートニュース カスタマーアドバイザリー ESET Status Portal ESET Technical Support

既存の顧客?