Zero-day ευπάθεια στο FireEye Antivirus

Ο κ. Kristian Erik Hermansen, ερευνητής ασφαλείας με έδρα το Λος Άντζελες των ΗΠΑ, βρήκε ένα zero-day bug στο antivirus FireEye, μαζί με τρία άλλα τρωτά σημεία, τα οποία σύμφωνα με το λογαριασμό του στο Twitter, είναι πλέον προς πώληση.

fireeye

Παρά το γεγονός ότι ένας ερευνητής ασφάλειας βγάζοντας τα τρωτά σημεία προς πώληση φλερτάρει με την εγκληματικότητα, αυτός ίσως μπορεί να είναι ο μοναδικός τρόπος του κ. Hermansen για να επιστήσει την προσοχή της εταιρείας σε αυτά τα σφάλματα, τα οποία, σύμφωνα με την ανταλλαγή ηλεκτρονικών μηνυμάτων με CSO, έχουν αγνοηθεί από FireEye τους τελευταίους 18 μήνες !!.

Σύμφωνα με μια ανακοίνωση της Exploit Database, η zero-day ευπάθεια παρέχει «τη μη εξουσιοδοτημένη πρόσβαση στο απομακρυσμένο σύστημα αρχείων root” στις πληγείσες εφαρμογές FireΕye.

Το ελάττωμα βρίσκεται σε ένα PHP script το οποίο εκτελείται σε μια ιστοσελίδα που βλέπει τον Apache server. Η ευπάθεια zero-day, η οποία μπορεί να προκληθεί από απόσταση, όταν χρησιμοποιείται, και να παρέχει στους επιτιθέμενους πρόσβαση σε τοπικά αρχεία.

Τα άλλα τρωτά είναι κατά βάση injection εντολές και σφάλματα παράκαμψης σύνδεσης. Δεν έχουν αναρτηθεί επιπλέον λεπτομέρειες γι ‘αυτά, αλλά ο κ. Hermansen ανέφερε ότι θα προβεί σε πώληση της ευπάθειας στον υψηλότερο πλειοδότη.

Την εταιρεία FireΕye, σε γενικές γραμμές, την λοξοκοιτάζουν με δυσπιστία και ίσως με μίσος οι περισσότεροι από τους ερευνητές ασφαλείας, αφού πέρυσι απέλυσε ένα ειδικό ασφαλείας για την γνωστοποίηση στο ευρύ κοινό τρωτών σημείων στο Malware Analysis System (MAS) της FireΕye.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).