Giống như bất kỳ phần mềm khác, phần mềm bảo mật chắc chắn sẽ có một số lỗ hổng có thể bị khai thác bởi những kẻ tấn công. Và mới nhất, các nhà nghiên cứu của Google thuộc công ty Project Zero, đã phân tích được lỗ hổng đầy nghiêm trọng của hãng phần mềm bảo mật ESET, đây là lỗi cơ bản của ESET cho phép mở khóa Apple Mac và thực thi các mã từ xa. Bản báo cáo nói rằng dịch vụ esets_daemon được liên kết tĩnh với một phiên bản lỗi thời của các thư viện phân tích cú pháp XML POCO dựa trên Expat (http://expat.sourceforge.net/) phiên bản 2.0.1 có từ 05/06/2007.
Khi ESET Endpoint Antivirus cố gắng để kích hoạt bản quyền của nó, esets_daemon sẽ gửi một yêu cầu đến https://edf.eset.com/edf. Các dịch vụ esets_daemon không hợp lệ hóa chứng chỉ máy chủ web, lúc đó một lổ hổng bảo mật được mở ra có thể đánh chặn các yêu cầu và đáp ứng bằng cách sử dụng HTTPS tự ký. Các dịch vụ esets_daemon phân tích các phản hồi như một tài liệu XML, điều đó cho phép kẻ tấn công thay đổi và khai thác CVE-2016-0718 để đạt được thực thi mã tùy ý như là người chủ.
ESET đã sửa lỗi các vấn đề trong phiên bản 6.4.168.0. Hãy chắc chắn rằng bạn cập nhập bản vá của ESET phiên bản 6.4.168.0:
- Thêm vào: Sản phẩm xác minh chứng chỉ SSL ESET trên tất cả các hệ điều hành hỗ trợ X / MacOS
- Thêm vào: nâng cấp thư viện POCO mới nhất.
Trước đó, các nhà nghiên cứu cũng từng phát hiện các lỗi bảo mật của các hãng phần mềm bảo nật nổi tiếng như:
- Ngày 04/09/2015: Lỗi bảo mật nghiêm trọng Zero-day của Kaspersky, Avira và FireEye - Đây có thể gọi là ngày "thứ sáu đen tối" của cả 03 hãng bảo mật hàng đầu Kaspersky, Avira và FirEye khi mà các sản phẩm mới nhất của Kaspersky, Avira Mobile Security iOS và FireEye Endpoint Security bị dính lỗi Zero-day. Kaspersky đã cập nhập bản vá 24h sau đó. FireEye Endpoint Security đã được cảnh báo bị lỗi Zero-day 18 tháng trước đó cùng với 30 lỗ hổng bảo mật khác, tuy nhiên trong một tuyên bố chung FireEye đã "lảng tránh" các báo cáo của các nhà nghiên cứu.
- Ngày 12/01/2016: Lỗi bảo mật của Trend Micro - Bản Maximum Security 10: Lỗi Password Manager được cài đặt và chạy theo mặc định khi người dùng cài đặt mở ra nhiều cổng HTTP RPC để xử lý yêu cầu API
- Ngày 03/02/2016: Lỗi bảo mật của Comodo - Comodo Internet Security cài đặt một trình duyệt gọi là Chromodo với mức độ cao nhất của tốc độ, bảo mật và riêng tư, nhưng thực tế theo các nhà nghiên cứu thấy rằng tuyên bố là không đúng sự thật, như trình duyệt vô hiệu hóa các chính sách cùng nguồn gốc, hiệu quả tắt bảo mật web, loại bỏ các API 'execCode' làm cho các lỗ hổng vẫn còn khai thác được...
- Ngày 17/05/2016: Lỗi bảo mật của Symantec - Symantec Endpoint Antivirus bị lỗi (Bug) ngay chính Engine, ngoài ra có từ 7 đến 8 khác về lỗ hổng RCE quan trọng cũng được Ormandy (một chuyên gia bảo mật Google) phát hiện và đã có nhiều trường hợp được Symantec ghi nhận lỗi dẫn đến sập hệ thống, còn gọi là "màn hình xanh chết chóc".
- Ngày 13/12/2016: Lỗi bảo mật của Intel Security - McAfee VirusScan Enterprise dành cho hệ điều hành Linux bị ảnh hưởng bởi 10 lỗ hổng, gồm những lỗ hổng nghiêm trọng có thể được kết hợp để thực thi mã từ xa với đặc quyền root. Cuộc tấn công bắt đầu với một lỗ hổng cho phép sử dụng từ xa token xác thực (CVE-2016-8022) để tấn công brute-forced (CVE-2016-8022). Kẻ tấn công sau đó triển khai một server update độc hại và dùng CVE-2016-8022 để cấu hình sản phẩm sử máy chủ đó. Lỗ hổng chiếm quyền ghi file vào thư mục (CVE-2016-8021) bị khai thác để tạo ra một script độc hại từ server update. Lỗ hổng này có thể được kết hợp với lỗ hổng leo thang đặc quyền (CVE-2016-8021) cho phép kẻ tấn công chiếm quyền root, thường được chạy trên các dịch vụ quét chính của McAfee VirusScan Enterprise.
Cuối cùng, kẻ tấn công có thể thực thi script độc hại với quyền root trên hệ thống
(Nguồn: https://forum.eset.com/topic/8696-eset-endpoint-security-for-mac-os-x-startup-issue
https://www.theregister.co.uk/2017/02/28/eset_antivirus_opens_macs_to_remote_execution_as_root)