ESET Anti-virus for MacOS’un eski sürümleri kötüye kullanılabilir…

Google araştırmacılarına göre, ESET Endpoint Antivirus 6’nın son güncellemesine dahil edilen eski XML kitaplığı. Ortadaki adam saldırısı kullanan saldırganlar, lisans kimlik bilgisi verilerinin iletimini engelleyebilir ve lisans sunucusu gibi görünen bir makinenin mevcut olmayan verileri aktarmasına izin verebilir.

Bu durumda, saldırganın bağlantının kontrolünü ele geçirmesine izin veren sahte bir HTTPS sertifikası gönderilebilir. Sonraki bir aktarım, yerel düzeyde kod yürütülmesine izin veren kötü amaçlarla oluşturulmuş bir XML paketi içerebilir.

Google Güvenlik Ekibi’nden Jason Geffner ve Jan Bee, “ESET Endpoint Antivirus lisansını etkinleştirmeye çalıştığında esets_daemon https://edf.eset.com/edf adresine bir istek gönderiyor” dedi. “esets_daemon hizmeti, web sunucusunun sertifikasını doğrulamaz, bu nedenle ortadaki adam, kendinden imzalı bir HTTPS sertifikasıyla istekleri ve yanıtları engelleyebilir. esets_daemon hizmeti, yanıtı bir XML belgesi olarak ayrıştırır ve böylece bir saldırganın hatalı biçimlendirilmiş içerik teslim etmesine olanak tanır. “

Güvenlik açığı Google tarafından keşfedildi ve Kasım 2016’nın başlarında ESET’e bildirildi. Sorunu düzeltecek bir yama, 21 Şubat’ta yayınlanan bir sürümle Şubat ayı başlarında araştırmacıların kullanımına sunuldu.

Saldırının, diğer Mac kötü amaçlı yazılım paketlerinin gerektirdiği gibi belirli bir makineye göre uyarlanması gerekmez. Tek gereken, hedefin ESET aracını çalıştırdığının ve halka açık bir kablosuz ortak erişim noktası gibi bir “ortadaki adam” saldırısının nasıl kullanılacağının farkında olmaktır.

ESET, güvenlik açığı herkese açık hale gelmeden önce 21 Şubat’ta bu sorun için bir düzeltme eki yayınladı. Kullanıcılar, önceki herhangi bir sürümün değil, ESET Endpoint Antivirus sürüm 6.4.168.0’ın yüklü olduğundan emin olmalıdır.

Kaynak: appleinsider