Un esame del codice dell'emulatore di prodotti ESET rivela che non era abbastanza forte in modo che possa essere facilmente compromessa. Questo a sua volta permette ad un aggressore di prendere il controllo totale di un sistema operativo la soluzione di sicurezza vulnerabili.
Prima che l'utente lancia il file eseguibili e gli script, prodotti antivirus correre attraverso l'emulazione del codice integrato nel programma, allora l'attività è monitorata nel sistema. Il processo avviene in un ambiente privato in modo che il sistema reale non potrebbe essere influenzato.
Bug è in esecuzione durante routine di scansione di routine
La vulnerabilità in NOD32 Antivirus è stato scoperto da Tavis Ormandy di Google Project Zero. Inoltre, altri prodotti come versioni consumer per Windows, Linux e OS X, così come sono influenzate troppo edizioni commerciali e degli endpoint.
Nel rapporto della vulnerabilità, Ormandy afferma che ESET NOD32 utilizza un mini-filtro o kext per collegare tutti i dischi I / O (input Output) informazioni che viene analizzato e poi emulato se viene rilevato codice eseguibile. Ha anche aggiunto che molti prodotti antivirus hanno l'efficienza di emulazione che è stato progettato per dare il permesso di unpackers per eseguire alcuni cicli prima di applicare firme.
codice non attendibile può passare attraverso i file su disco quando, immagini, messaggi o un altro tipo di dati vengono ricevuti come operazioni del disco I / O può essere causata in molti modi. Quindi, la necessità di emulatore di codice stabile e adeguatamente isolato in prodotto antivirus è fondamentale.
La vulnerabilità esiste in esecuzione compito pila ombra e attiva qualsiasi momento un'operazione di scansione - in tempo reale, pianificato o manuale – verifica.
L'attacco è appena percettibile
Secondo Ormandy, l'attacco potrebbe essere a prescindere del tutto impercettibile dei diritti di accesso. La vulnerabilità si estende su tutte le attività come l'installazione di programmi, login operazioni di sistema e l'accesso collegamento.
L'utente potrebbe essere messa in pericolo, senza interazione richiesta e non viene avvisato in alcun modo come I / O compiti rappresento consuete operazioni di sistema.
La vulnerabilità è stata segnalata ESET giugno 18 da Ormandy e quattro giorni dopo la società ha rilasciato un aggiornamento per il motore di scansione.