Como parte de su continua búsqueda de errores e inconsistencias en antivirus y software de seguridad en general, Google publicó esta semana los detalles de un procedimiento que hizo posible utilizar un conocido programas antivirus para ejecutar código con privilegios root en computadoras Mac.
Hasta el 21 de febrero, el producto en cuestión, ESET Endpoint Antivirus 6, utilizada una versión obsoleta de la biblioteca C++ POCO, basada en la versión 2.0.1 de la biblioteca Expat XML Parser. Esta versión de Expat data de 2007 y contiene una vulnerabilidad que hace posible la ejecución de código aleatorio mediante contenidos XML especialmente adaptados. La vulnerabilidad en cuestión ha sido del conocimiento público desde mayo de 2016.
Al intentar activar una licencia, el software antivirus utiliza Expat para leer la respuesta recibida de los servidores de ESET. Esta comunicación es realizada mediante una conexión HTTPS, aunque sin validación del certificado de servidor web, lo que hace posible para un atacante enviar a ESET Endpoint Antivirus 6 un documento XML maligno mediante la táctica conocida como man-in-the-middle.
La vulnerabilidad fue eliminada con la versión 6.4.168.0 de ESET Endpoint Antivirus, con la incorporación de la versión más reciente de POCO. ESET realizó la actualización tres meses después de haber sido notificada sobre la vulnerabilidad.