You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Antivirus hizo posible ejecutar código remoto<br />
mediante conexión HTTPS insegura<br />
La utilización por parte de ESET de una biblioteca del software obsoleta<br />
puso en peligro a usuarios de sistemas Mac.<br />
Diario TI 01/03/17 11:58:59<br />
Como parte de su continua búsqueda de errores e inconsistencias en<br />
antivirus y software de seguridad en general, Google publicó esta<br />
semana los detalles de un procedimiento que hizo posible utilizar un<br />
conocido programas antivirus para ejecutar código con privilegios root en<br />
computadoras Mac.<br />
Hasta el 21 de febrero, el producto en cuestión, ESET Endpoint Antivirus<br />
6, utilizada una versión obsoleta de la biblioteca C++ POCO, basada en<br />
la versión 2.0.1 de la biblioteca Expat XML Parser. Esta versión de Expat<br />
data de 2007 y contiene una vulnerabilidad que hace posible la ejecución<br />
de código aleatorio mediante contenidos XML especialmente<br />
adaptados. La vulnerabilidad en cuestión ha sido del conocimiento<br />
público desde mayo de 2016.<br />
Al intentar activar una licencia, el software antivirus utiliza Expat para leer<br />
la respuesta recibida de los servidores de ESET. Esta comunicación es<br />
realizada mediante una conexión HTTPS, aunque sin validación del<br />
certificado de servidor web, lo que hace posible para un atacante enviar a<br />
ESET Endpoint Antivirus 6 un documento XML maligno mediante la<br />
táctica conocida como man-in-the-middle.<br />
La vulnerabilidad fue eliminada con la versión 6.4.168.0 de ESET<br />
Endpoint Antivirus, con la incorporación de la versión más reciente de<br />
POCO. ESET realizó la actualización tres meses después de haber sido<br />
notificada sobre la vulnerabilidad.