Menü
Mac & i

Mac-AV-Software ermöglichte Einschleusen von Schadcode

Eine unzureichende Absicherung bei der Lizenzprüfung von Eset Endpoint Antivirus für macOS ermöglichte es einem Angreifer, beliebigen Code mit Root-Rechten auszuführen. Die als kritisch eingestufte Sicherheitslücke wurde inzwischen behoben.

Von
vorlesen Drucken Kommentare lesen 26 Beiträge
Eset Endpoint Antivirus

(Bild: Webseite des Herstellers)

Zwei Google-Sicherheitsforscher haben kritische Schwachstellen in der für Mac-Nutzer gedachten Version von Esets Antiviren-Software gefunden: Ein Angreifer ist dadurch in der Lage, beliebigen Code auf dem Mac des Nutzers einzuschleusen und mit Root-Rechten auszuführen.

Um die Lizenz zu aktivieren, baut die Mac-Antiviren-Software eine Verbindung zum Server des Herstellers auf. Dabei wird jedoch das Zertifikat des Webservers nicht validiert, erklären die Sicherheitsforscher auf der Mailingliste Full Disclosure: Ein 'Man-in-the-Middle' kann die Anfrage deshalb mit einem selbstsignierten HTTPS-Zertifikat beantworten.

Hinzu kommt, dass der mit Root-Rechten laufende Prüfprozess der Antivirensoftware die Erwiderung des Servers als XML-Dokument parst, dafür allerdings auf eine veraltete Version der Poco-XML-Bibliothek setzt, die eine gravierende Schwachstelle aufweist. Dies ermöglicht dem Angreifer, durch eine manipulierte Antwort Schadcode auszuführen.

Schwachstelle Ende des vergangenen Jahres an Hersteller gemeldet – nun gefixt

Die Sicherheitsforscher des Google Security Team haben einen Proof of Concept veröffentlicht. Die als kritisch eingestufte Sicherheitslücke wurde schon im vergangenen November an den Hersteller gemeldet – und wenige Tage vor der Veröffentlichung der Details inzwischen geschlossen. In Version 6.4.168.0 von Eset Endpoint Antivirus für macOS soll die Schwachstelle nicht mehr bestehen.

Mehr zum Thema:

(lbe)