ไม่แน่ใจว่าการติดตั้ง Antivirus จะกลายเป็นการช่วยหรือการทำร้ายเครื่องกันแน่ เมื่อ Jason Geffner และ Jan Bee พบช่องโหว่ Remote Code Execution (RCE) ใน ESET Endpoint Antivirus 6 ใน Mac OSX

ช่องโหว่ RCE คือช่องโหว่ที่ทำให้ Hacker สามารถสั่งเครื่องของเป้าหมายได้จากระยะไกลผ่านช่องโหว่ของ Application นั้นๆ ซึ่งในที่นี้ก็คือแทนที่เครื่องเราจะอยู่เฉยๆ ไม่มีช่องโหว่อะไร แต่เมื่อติดตั้ง ESET Endpoint Antivirus 6 เข้าไปกลายเป็นเครื่องเรามืช่องโหว่ให้ Hacker แฮ็คเข้ามาได้นั่นเอง

โดยช่องโหว่นี้ได้แจ้งให้กับ ESET ทราบตั้งแต่เมื่อวันที่ 03/11/2016 โดยช่องโหว่ของ ESET Endpoint Antivirus 6 เกิดจากที่ใช้  POCO XML parser library ที่เป็น version เก่า(version 1.4.6p1 ซึ่งเป็น version ตั้งแต่ 2013-03-06, โดย POCO version ดังกล่าวใช้ Expat version 2.0.1 ซึ่งเป็นเวอร์ชั่นตั้งแต่ 2007-06-05) โดย version ดังกล่าวเป็น version ที่มีช่องโหว่ XML parsing vulnerability(CVE-2016-0718) ทำให้เกิด Code Execution ได้ ผ่านการส่ง XML ที่สร้างมาโดยเฉพาะไป

ESET Endpoint Antivirus 6 เป็น version ที่ใช้สิทธิ์ root ในการรัน service esets_daemon ซึ่ง service ดังกล่าว เมื่อพยายาม activate license จะมีการส่ง request ไปยัง https://edf.eset.com/edf โดย service ดังกล่าวไม่มีการตรวจสอบ certificate แต่อย่างใด ทำให้ Hacker สามารถดักจับข้อมูลตรงกลางแล้วส่ง malform XML ไปให้ เมื่อ service นำ XML ดังกล่าวมาอ่าน ก็จะกลายเป็นถูกโจมตีช่องโหว่

ตอนนี้ ESET ได้ออก patch แก้ไขออกมาแล้วครับเป็น ESET Endpoint Antivirus version 6.4.168.0.

ระบบที่ได้รับผลกระทบ: ESET Endpoint Antivirus 6 (Mac OSX)

ผลกระทบ: Remote Code Execution

วิธีแก้ไข: Update เป็น version 6.4.168.0

Source:: Seclist.org