Um exame do emulador de código em produtos da ESET revela que não era forte o suficiente para que pudesse ser facilmente comprometida. Isto por sua vez permite que um invasor assuma o controle total de um sistema operacional a solução de segurança vulneráveis.
Antes do usuário lança arquivos executáveis e scripts, produtos antivírus executá-los através de emulação de código integrado no programa, em seguida, a actividade é monitorizada no sistema. O processo acontece em um ambiente privado para o sistema real não podem ser afetados.
Bug está sendo executado durante Rotina de digitalização de rotina
A vulnerabilidade no NOD32 Antivirus foi descoberto por Tavis Ormandy da Google Project Zero. Além disso, outros produtos, como as versões domésticas do Windows, Linux e OS X, bem como edições de negócio e Endpoint são afetados também.
No relatório de vulnerabilidade, Ormandy afirma que ESET NOD32 utiliza um minifiltro ou kext para ligar todos disco I / O (input / output) informação que é analisada e, em seguida, se emulado código executável é detectada. Ele também acrescentou que muitos produtos antivírus têm eficiência de emulação que é projetado para dar permissão para unpackers para executar alguns ciclos antes assinaturas são aplicadas.
código não confiável pode passar através dos arquivos do disco quando, imagens, mensagens ou outro tipo de dados é recebido como operações de disco I / O podem ser causados em muitos aspectos. Portanto, a necessidade de emulador de código estável e devidamente isolado no produto antivírus é crucial.
A vulnerabilidade existe na execução de tarefa pilha sombra e ativa a qualquer momento uma operação de digitalização - em tempo real, agendado ou manual – ocorre.
O ataque é dificilmente perceptível
De acordo com Ormandy, o ataque poderia ser independentemente completamente imperceptível de direitos de acesso. A vulnerabilidade se espalha por todas as atividades como instalação de programas, login operações do sistema e acesso a conexão.
O usuário poderia estar em perigo, sem interação necessária e não é alertado de qualquer maneira como eu / tarefas S representam as operações normais do sistema.
A vulnerabilidade ESET foi relatado em junho 18 por Ormandy e quatro dias mais tarde, a empresa lançou uma atualização para o mecanismo de verificação.