Podsumowanie
Doradztwo dla klientów ESET 2017-0003
14 lutego 2017 r
Istotność: Krytyczny
Firma ESET została poinformowana o potencjalnych lukach w swoich produktach konsumenckich i biznesowych dla systemu macOS. Po szczegółowej inspekcji ESET zidentyfikował przyczyny błędów i przygotował naprawione produkty do pobrania i zainstalowania przez użytkowników.
Porady dla klientów
Dotknięte programy i wersje
- Problem z parsowaniem XML i weryfikacją SSL
- ESET Cyber Security i ESET Cyber Security Pro 6.1.x - 6.3.70.1
- ESET Endpoint Antivirus for macOS i ESET Endpoint Security for macOS 6.0.x - 6.3.85.1
- Problem ze skryptem instalacyjnym
- ESET Cyber Security i ESET Cyber Security Pro 6.0.x - 6.3.70.1
- ESET Endpoint Antivirus for macOS i ESET Endpoint Security for macOS 6.0.x - 6.3.85.1
- ESET NOD32 Antivirus Business Edition dla macOS 4.x
- Problem z nasłuchem proxy
- ESET Cyber Security i ESET Cyber Security Pro 6.0.x - 6.3.70.1
- ESET Endpoint Antivirus dla macOS i ESET Endpoint Security dla macOS 6.0.x - 6.3.85.1
Rozwiązanie
Firma ESET przygotowała poprawione kompilacje produktów konsumenckich i biznesowych dla systemu macOS i zaleca użytkownikom pobranie ich z sekcji pobierania na stronie www.eset.com i zainstalowanie ich tak szybko, jak to możliwe.
Następujące kompilacje zawierają poprawki:
- ESET Cyber Security i ESET Cyber Security Pro 6.4.128.0 i nowsze (wydane 13 lutego 2017 r.)-View instructions to Upgrade to the latest version
- ESET Endpoint Antivirus for macOS i ESET Endpoint Security for macOS 6.4.168.0 i nowsze (wydane 14 lutego 2017 r.)-Wyświetl instrukcje aktualizacji do najnowszej wersji
Szczegóły
Następujące błędy zostały zgłoszone do firmy ESET, przeanalizowane i naprawione:
- Używając nieaktualnej wersji biblioteki parsowania XMLinnej firmy w produktach ESET dla macOS, atakujący mógł utworzyć specjalnie zaprojektowany plik XML, który po załadowaniu przez demona ESET wykonywał złośliwy kod z uprawnieniami roota. Firma ESET naprawiła ten błąd, używając poprawionej wersji biblioteki parsowania XML.
- Kreator instalacji produktów ESET dla macOS wykonuje skrypt zlokalizowany w /tmp/esets_setup.sh i ładuje konfigurację z /tmp. Jeśli nieuprzywilejowany użytkownik utworzył wcześniej takie pliki, późniejsza instalacja uruchomiona przez uprzywilejowanego użytkownika mogłaby załadować i wykonać te pliki. ESET naprawił ten problem, nie używając już pliku skryptu, ale raczej tworząc plik danych z ustawieniami instalacji, które są odczytywane i interpretowane przez esets_daemon podczas pierwszego ładowania.
- Produkty ESET dla macOS nie weryfikowały certyfikatów SSL podczas komunikacji z serwerami ESET. W ten sposób atakujący mógł przeprowadzić atak typu man-in-the-middle i sfałszować dane otrzymane przez produkt. Firma ESET naprawiła ten błąd, wdrażając weryfikację certyfikatów SSL podczas komunikacji z serwerami ESET.
- Nawet przy wyłączonych funkcjach proxy w konfiguracji produktów ESET dla macOS, demon esets_proxy nadal nasłuchiwał na 0.0.0.0:57856, narażając go na nielokalne próby połączenia. Firma ESET naprawiła ten błąd, ustawiając nasłuchiwanie demona na 127.0.0.1 zamiast 0.0.0.0 i zamykając wszystkie porty, gdy funkcje proxy zostały wyłączone.
Zgodnie z naszą najlepszą wiedzą, nie istnieją żadne exploity wykorzystujące te luki w środowisku naturalnym.
Opinie i wsparcie
Jeśli masz opinie lub pytania dotyczące tej kwestii, skontaktuj się z nami za pośrednictwem forum ESET Security lub za pośrednictwem lokalnej pomocy technicznej ESET.
Potwierdzenie
ESET ceni zasady odpowiedzialnego ujawniania informacji w branży bezpieczeństwa i chciałby niniejszym wyrazić podziękowania dla Jana Bee i Jasona Geffnera z The Google Security Team, którzy zgłosili te problemy.
Dziennik wersji
Wersja 1.0 (14 lutego 2017 r.): Początkowa wersja tego dokumentu
