En undersøkelse av kode emulator i ESET-produkter viser at det ikke var sterk nok slik at det kan være lett kompromittert. Dette i sin tur gjør det mulig for en inntrenger å ta full kontroll av et system som opererer den sårbare sikkerhetsløsning.
Før brukeren starter kjørbare filer og skript, antivirusprodukter kjøre dem gjennom kodeemulering integrert i programmet, Da aktiviteten overvåkes i systemet. Prosessen skjer i en privat miljø så den virkelige systemet ikke kan bli påvirket.
Bug Er Running under rutine Scan Rutine
Sårbarheten i NOD32 Antivirus ble oppdaget av Tavis Ormandy fra Google Project Zero. Dess, andre produkter som forbruker versjoner for Windows, Linux og OS X, samt virksomhet utgaver og Endpoint påvirkes også.
I rapporten sårbarhet, Ormandy fastslår at ESET NOD32 bruker et mini eller kext å hekte alt disk I / O (input / output) informasjon som blir analysert og deretter emulert hvis kjørbar kode er detektert. Han la til at mange antivirusprodukter har emulering effektivitet som er designet for å gi tillatelse til utpakkere å kjøre noen sykluser før signaturer brukes.
Uklarert kode kan passere gjennom disken når filene, Bilder, meldinger eller annen slags data som mottas som disk operasjoner I / O kan bringes på mange måter. Derfor, behovet for stabil og korrekt isolert kode emulator i antivirus produkt er avgjørende.
Sikkerhetsproblemet finnes i rennende skygge stabel oppgave og aktiverer enhver tid en skanneoperasjon - sanntids, planlagt eller manuell – inntreffer.
Angrepet er det knapt merkbart
Ifølge Ormandy, angrepet kan være helt umerkelig uavhengig av tilgangsrettigheter. Sårbarheten sprer seg over alle aktiviteter som å installere programmer, logging i systemdriften og få tilgang til tilkobling.
Brukeren kunne være fare for, uten vekselvirkning som kreves, og er ikke varslet på noen måte som I / O hendelser representerer vanlige systemoperasjoner.
Sårbarheten ESET ble rapportert på juni 18 av Ormandy og fire dager senere ble selskapet gitt ut en oppdatering for skannemotoren.