En undersökning av koden emulator i ESET produkter visar att det inte var tillräckligt stark så det kan lätt äventyras. Detta i sin tur gör det möjligt för en angripare att ta total kontroll över ett system i drift den sårbara säkerhetslösning.
Innan användaren startar körbara filer och skript, antivirusprodukter kör dem genom kod emulering integreras i programmet, då aktiviteten övervakas i systemet. Processen sker i en privat miljö så det verkliga systemet inte kan komma att påverkas.
Bug är igång under Rutin Scan Rutin
Sårbarheten i NOD32 Antivirus upptäcktes av Tavis Ormandy från Google Project Zero. dessutom, andra produkter som konsument versioner för Windows, Linux och OS X, samt affärs upplagor och Endpoint påverkas också.
I rapporten sårbarhet, Ormandy konstaterar att ESET NOD32 använder ett minifilter eller kext att koppla upp alla disk I / O (ingång / utgång) information som analyseras och därefter emuleras om exekverbar kod detekteras. Han tillade också att många antivirusprodukter har emulering effektivitet som är utformad för att ge tillstånd till unpackers att köra några cykler innan signaturer tillämpas.
Opålitlig kod kan passera genom skivan när filerna, bilder, meddelanden eller annan typ av data tas emot som diskettoperationer I / O kan orsakas på många sätt. Därför, behovet av stabila och väl isolerad kod emulator i antivirusprogram är avgörande.
Sårbarheten finns i rinnande skugga stack uppgift och aktiverar helst en skanning - i realtid, schemalagd eller manuell – inträffar.
Attacken knappt märkbar
Enligt Ormandy, attacken kan vara helt osynlig oavsett åtkomsträttigheter. Sårbarheten sprider sig över alla aktiviteter som att installera program, logga in systemoperationer och komma åt anslutningen.
Användaren kan äventyras utan behov interaktion och inte uppmärksammas på något sätt som I / O-funktionerna representerar vanliga systemfunktioner.
ESET sårbarhet rapporterades juni 18 av Ormandy och fyra dagar senare företaget släppt en uppdatering för sökmotor.