Resumo
Aviso ao Cliente ESET 2017-0003
14 de fevereiro de 2017
Gravidade: Crítica
A ESET foi informada sobre possíveis vulnerabilidades em seus produtos para consumidores e empresas para macOS. Após uma inspeção detalhada, a ESET identificou as causas dos problemas e preparou produtos corrigidos para serem baixados e instalados por seus usuários.
Aviso ao cliente
Programas e versões afetados
- Problema de análise de XML e problema de verificação SSL
- ESET Cyber Security e ESET Cyber Security Pro 6.1.x - 6.3.70.1
- ESET Endpoint Antivirus para macOS e ESET Endpoint Security para macOS 6.0.x - 6.3.85.1
- Problema no script de instalação
- ESET Cyber Security e ESET Cyber Security Pro 6.0.x - 6.3.70.1
- ESET Endpoint Antivirus para macOS e ESET Endpoint Security para macOS 6.0.x - 6.3.85.1
- ESET NOD32 Antivirus Business Edition para macOS 4.x
- Problema de escuta de proxy
- ESET Cyber Security e ESET Cyber Security Pro 6.0.x - 6.3.70.1
- ESET Endpoint Antivirus para macOS e ESET Endpoint Security para macOS 6.0.x - 6.3.85.1
Solução
A ESET preparou compilações corrigidas dos produtos para consumidores e empresas para macOS e recomenda que os usuários as baixem da seção de downloads de www.eset.com e as instalem o mais rápido possível.
Os seguintes builds contêm as correções:
- ESET Cyber Security e ESET Cyber Security Pro 6.4.128.0 e posteriores (lançados em 13 de fevereiro de 2017) -Veja as instruções para atualizar para a versão mais recente
- ESET Endpoint Antivirus para macOS e ESET Endpoint Security para macOS 6.4.168.0 e posterior (lançado em 14 de fevereiro de 2017) -Ver instruções para atualizar para a versão mais recente
Detalhes
Os seguintes problemas foram relatados à ESET, analisados e corrigidos:
- Ao usar uma compilação desatualizada da biblioteca de análise XML deterceiros nos produtos ESET para macOS, era possível que um atacante criasse um arquivo XML projetado especificamente, que, quando carregado pelo daemon da ESET, executaria seu código malicioso com privilégios de root. A ESET corrigiu esse problema usando uma versão corrigida da biblioteca de análise de XML.
- O assistente de instalação dos produtos ESET para macOS executa um script localizado em /tmp/esets_setup.sh e carrega a configuração de /tmp. Se um usuário sem privilégios criasse esses arquivos previamente, uma instalação subsequente executada por um usuário com privilégios carregaria e executaria esses arquivos. A ESET corrigiu esse problema deixando de utilizar um arquivo de script e criando um arquivo de dados com as configurações de instalação que são lidas e interpretadas pelo esets_daemon durante seu primeiro carregamento.
- Os produtos da ESET para macOS não verificavam os certificados SSL quando se comunicavam com os servidores da ESET. Dessa forma, um atacante poderia realizar um ataque man-in-the-middle e falsificar os dados recebidos pelo produto. A ESET corrigiu esse problema implementando a verificação do certificado SSL ao se comunicar com os servidores da ESET.
- Mesmo com os recursos de proxy desativados na configuração dos produtos ESET para macOS, o daemon esets_proxy continuou a escutar em 0.0.0.0:57856, expondo-o a tentativas de conexão não local. A ESET corrigiu esse problema fazendo com que o daemon escute em 127.0.0.1 em vez de 0.0.0.0 e fechando todas as portas quando os recursos de proxy foram desativados.
Até onde sabemos, não existem explorações que tirem proveito dessas vulnerabilidades na natureza.
Feedback e suporte
Se tiver comentários ou perguntas sobre este problema, entre em contato conosco através do Fórum do ESET Security ou através do Suporte ESET local.
Reconhecimento
A ESET valoriza os princípios de divulgação responsável dentro da indústria de segurança e gostaria de agradecer a Jan Bee e Jason Geffner da equipe de segurança do Google que relataram esses problemas.
Registro de versões
Versão 1.0 (14 de fevereiro de 2017): Versão inicial deste documento
