Zero-day ευπάθεια στο FireEye Antivirus

Ο κ. Kristian Erik Hermansen, ερευνητής ασφαλείας με έδρα το Λος Άντζελες των ΗΠΑ, βρήκε ένα bug στο , μαζί με τρία άλλα τρωτά σημεία, τα οποία σύμφωνα με το λογαριασμό του στο Twitter, είναι πλέον προς πώληση.

fireeye

Παρά το γεγονός ότι ένας ερευνητής ς βγάζοντας τα τρωτά σημεία προς πώληση φλερτάρει με την εγκληματικότητα, αυτός ίσως μπορεί να είναι ο μοναδικός τρόπος του κ. Hermansen για να επιστήσει την προσοχή της εταιρείας σε αυτά τα σφάλματα, τα οποία, σύμφωνα με την ανταλλαγή ηλεκτρονικών μηνυμάτων με CSO, έχουν αγνοηθεί από FireEye τους τελευταίους 18 μήνες !!.

Σύμφωνα με μια ανακοίνωση της Exploit Database, η zero-day ευπάθεια παρέχει «τη μη εξουσιοδοτημένη πρόσβαση στο απομακρυσμένο σύστημα αρχείων root” στις πληγείσες εφαρμογές FireΕye.

Το ελάττωμα βρίσκεται σε ένα PHP script το οποίο εκτελείται σε μια ιστοσελίδα που βλέπει τον server. Η ευπάθεια zero-day, η οποία μπορεί να προκληθεί από απόσταση, όταν χρησιμοποιείται, και να παρέχει στους επιτιθέμενους πρόσβαση σε τοπικά αρχεία.

  RFID CHIP: Ευπάθεια ιδιωτικότητας σε τραπεζικές κάρτες πληρωμών

Τα άλλα τρωτά είναι κατά βάση injection εντολές και σφάλματα παράκαμψης σύνδεσης. Δεν έχουν αναρτηθεί επιπλέον λεπτομέρειες γι ‘αυτά, αλλά ο κ. Hermansen ανέφερε ότι θα προβεί σε πώληση της ευπάθειας στον υψηλότερο πλειοδότη.

Την εταιρεία FireΕye, σε γενικές γραμμές, την λοξοκοιτάζουν με δυσπιστία και ίσως με μίσος οι περισσότεροι από τους ερευνητές ασφαλείας, αφού πέρυσι απέλυσε ένα ειδικό ασφαλείας για την γνωστοποίηση στο ευρύ κοινό τρωτών σημείων στο System (MAS) της FireΕye.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


3  +  5  =