En undersøgelse af koden emulatoren i ESET-produkter afslører, at det ikke var stærk nok, så det kunne nemt kompromitteret. Dette på sin side gør det muligt for en hacker at tage fuld kontrol over et system, der fungerer den sårbare sikkerhedsløsning.
Før brugeren lancerer eksekverbare filer og scripts, antivirus produkter kører dem gennem kode emulering integreret i programmet, derefter aktiviteten overvåges i systemet. Processen sker i et privat miljø, så det virkelige system, ikke kunne blive påvirket.
Bug kører under rutinemæssige Scan Routine
Sårbarheden i NOD32 Antivirus blev opdaget af Tavis Ormandy fra Google Project Zero. Endvidere, andre produkter som forbruger versioner til Windows, Linux og OS X, samt Forretningsservice udgaver og Endpoint påvirkes også.
I sårbarhed rapport, Ormandy, at ESET NOD32 bruger minifilter eller kext at tilslutte alle disk I / O (input / output) information, der analyseres, og derefter emuleret hvis der detekteres eksekverbar kode. Han tilføjede også, at mange antivirus produkter har emulering effektivitet, der er designet til at give tilladelse til udpakkere at køre et par cykler før signaturer anvendes.
Der ikke er tillid kode kan passere gennem disk, når filer, billeder, beskeder eller en anden form for data, der modtages som disk operationer I / O kan være forårsaget på mange måder. Derfor, behovet for en stabil og korrekt isoleret kode emulator i antivirus-produkt er afgørende.
Sårbarheden findes i køreklar skygge stak opgave og aktiverer enhver tid en scanning - i realtid, planlagt eller manuel – opstår.
Angrebet er næppe mærkbar
Ifølge Ormandy, angrebet kunne være helt umærkelig uanset adgangsrettigheder. Sårbarheden breder sig over alle aktiviteter som at installere programmer, logge ind systemoperationer og adgang forbindelse.
Brugeren kan komme i fare uden behov interaktion og er ikke advaret på nogen måde som I / O-opgaver repræsenterer sædvanlige systemoperationer.
ESET sårbarhed blev rapporteret juni 18 af Ormandy og fire dage senere selskabet udgivet en opdatering til scanningen motor.