谷歌披露殺毒軟體ESET Mac版代碼執行漏洞

E安全3月1日訊谷歌公司的研究人員發現ESET Endpoint Antivirus for macOS中存在一項高危缺陷，可能被未經授權的攻擊者用於通過root許可權進行遠程任意代碼執行。ESET方面已經發布更新以解決這項安全漏洞。

這項被記錄為CVE-2016-9892的安全漏洞於2016年11月由谷歌安全團隊的Jason Geffner與Jan Bee兩位研究人員所發現。此項漏洞影響到ESET Endpoint Antivirus 6 for macOS，且已經於今年2月21日發布的6.4.168.0版本當中得到修復。

根據專家們所言，該問題與一項名為esets_daemon且以root許可權運行的服務有關。該服務與POCO XML解析庫的某一舊有版本以靜態方式對接。存在漏洞的POCO 1.4.6p1版本發佈於2013年，其基於一套受CVE-2016-0718漏洞影響的Expat XML解析器庫版本——CVE-2016-0718漏洞允許攻擊者通過經過設計的XML內容執行任意代碼。

中間人（簡稱MitM）攻擊者可在esets_daemon服務向https://edf.eset.com/edf發送請求且ESET Endpoint Antivirus產品處於運行狀態時，利用此項安全漏洞。在這種情況下，該殺毒軟體將無法確保Web伺服器的證書有效性，並因而導致安全問題。

攻擊者可能會攔截該請求，並利用一份自簽名HTTPS證書交付惡意XML文件。CVE-2016-0718在此情況下即會被觸發，最終導致esets_daemon解析該XML內容時引發惡意代碼以root許可權得到執行。

由谷歌公司研究人員展示的概念驗證代碼只顯示了如何引發ESET反病毒應用崩潰。

ESET公司已經對該POCO解析庫進行了升級，同時配置該產品以驗證SSL證書，從而解決了此項安全漏洞。

這已經不是谷歌公司的研究人員第一次在ESET產品當中發現安全漏洞。早在2015年，Tavis Ormandy就發現該公司的Windows與OS X產品當中存在一項高危漏洞，可能被用於實現對目標設備的完全控制。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。