IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Projet Zero : un ingénieur de Google découvre une faille critique dans des produits ESET


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 371
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 371
    Points : 154 885
    Points
    154 885
    Par défaut Projet Zero : un ingénieur de Google découvre une faille critique dans des produits ESET
    Projet Zero : un ingénieur de Google découvre une faille critique dans des produits ESET,
    qui aurait pu entraîner la compromission du système tout entier

    Plusieurs produits antivirus de la firme de sécurité ESET comportaient une vulnérabilité critique qui aurait pu entraîner une compromission du système tout entier. Un système compromis pourrait par exemple permettre la lecture, la modification ou la suppression de n’importe quel fichier sur le système indépendamment du niveau d’accréditation d’accès, l’installation de n’importe quel programme ou rootkit, l’accès à des composantes matérielles comme la caméra ou le micro, la consultation du journal d’activité du système, etc. La découverte de cette faille, désormais colmatée, a été faite par Tavis Ormandy, un ingénieur de l’équipe de sécurité de Google affectée au Projet Zero.

    Ormandy rappelle que plusieurs produits antivirus embarquent des capacités d’émulation qui sont destinés à permettre aux exécutables compressés d’être lancés pendant quelques cycles avant que les signatures ne soient appliquées. « Des attaquants peuvent provoquer des E / S via navigateur web, Email, Messagerie Instantanée, partage de fichier, stockage sur le réseau, USB ou des centaines d’autres vecteurs. A chaque fois qu’un message, un fichier, une image ou toute autre donnée est reçue, il est probable que certaines données non fiables traversent le disque. Parce qu’il est si facile pour les attaquants de déclencher une émulation du code non fiable, il est extrêmement important que l’émulateur soit robuste et isolé », précise-t-il.

    « Malheureusement, l’analyse de l’émulation d’ESET révèle que ce n’est pas le cas et qu’il peut être facilement compromis », continue-t-il. Dans une FAQ, il explique que toutes les plateformes sont affectées étant donné que « les signatures d’ESET sont du code exécutable qui sont décompressés dans l’environnement d’exécution depuis des fichiers DAT et NUP puis chargés comme modules », rappelant par la suite que les fichiers DAT sont partagés sur toutes les plateformes et versions.

    Parmi les produits affectés figurent : ESET Smart Security for Windows, ESET NOD32 Antivirus for Windows, ESET Cyber Security Pro for OS X, ESET NOD32 For Linux Desktop, ESET Endpoint Security for Windows et OS X et enfin ESET NOD32 Business Edition.

    Ce n’est pas la première fois que les chercheurs en sécurité trouvent de sérieuses vulnérabilités dans les produits antivirus. En 2012, Ormandy avaient repéré des vulnérabilités critiques dans Sophos Antivirus et l'année dernière il a trouvé une faille qui pourrait être exploitée pour désactiver à distance le moteur de protection utilisé dans de nombreux produits antimalwares de Microsoft. En 2014 également, Joxean Koret, chercheur à COSEINC, a trouvé des dizaines de vulnérabilités exploitables localement et à distance dans 14 moteurs antivirus. Plus tôt ce mois-ci, un rapport publié par le groupe de sécurité Kaspersky Labs indiquait que leurs serveurs ont été infectés depuis plusieurs mois par un malware furtif extrêmement persistant baptisé Duqu 2.0 et dont le but est de voler des informations tout en gardant un profil bas pour masquer sa présence.

    Il faut dire que, contrairement à d'autres applications, les programmes antivirus peuvent présenter une très grande surface d'attaque dans la mesure où ils ont besoin d'inspecter de nombreux types de fichiers et parfois du code indépendamment du langage et de la source.

    Si durant les années précédentes nous avons observé une volonté de limiter les privilèges d’accès d’applications largement utilisées (comme Google Chrome ou Adobe Reader qui utilisent des mécanismes de sandboxing), les produits antivirus quant à eux ont besoin d’être exécutés avec des privilèges d’accès élevés pour pouvoir effectivement combattre les menaces et potentielles menaces. Raison pour laquelle Carsten Eiram, chef de la recherche pour le compte de Risk Based Security, estime qu’il est très important que leur code soit solide. Il avance que 2,5% des failles observées par son entreprise l’année dernière sont issues de produits de sécurité parmi lesquels des programmes antivirus.

    Des failles qui peuvent ne pas intéresser uniquement des pirates puisque le quotidien The Intercept révèle que la NSA et son homologue britannique ont usé de reverse engineering sur des produits de sécurité pour contourner leur détection, surveiller le trafic web et récolter des informations sur les utilisateurs.

    Source : Google Project Zero, The Intercept
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 250
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 250
    Points : 2 871
    Points
    2 871
    Par défaut
    jamais entendu parlé de ESET. pub indirecte ?

  3. #3
    Membre confirmé
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2013
    Messages
    139
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : janvier 2013
    Messages : 139
    Points : 458
    Points
    458
    Par défaut
    Citation Envoyé par cuicui78 Voir le message
    jamais entendu parlé de ESET. pub indirecte ?
    C'est l'éditeur de Nod32, il est assez connu comme antivirus.

  4. #4
    Candidat au Club
    Homme Profil pro
    Responsable sécurité
    Inscrit en
    juillet 2015
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Responsable sécurité
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2015
    Messages : 1
    Points : 2
    Points
    2
    Par défaut Correction de la vulnérabilité ESET
    Bonjour,

    Le 22 Juin 2015, ESET a publié une mise à jour qui corrige une vulnérabilité dans le moteur d’analyse liée à l'émulation de code. Cette dernière n'a pas affecté le noyau du moteur d'émulation.
    Au moment de la notification, ce code n’était déjà plus présent dans notre moteur beta (pré
    -version). Depuis, le correctif est distribué à travers des mises à jour automatiques régulières.
    Veuillez donc vous assurer que votre base de données de signatures de virus est à jour. Tous les produits, dont la version de base de données de signatures de virus est
    supérieure à 11824, ne contiennent pas la vulnérabilité.

    Plus d’infos sur : http://kb.eset.com/esetkb/index?page...ewlocale=fr_FR

    Merci,

    L'équipe ESET France

  5. #5
    Membre habitué
    Profil pro
    Inscrit en
    avril 2008
    Messages
    74
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 74
    Points : 157
    Points
    157
    Par défaut Eset
    pas très connu mais fort efficace et léger !

    je ne compte plus les machine sous avira / msse / avast / avg qu'on a dépolluées avec Eset ...
    Son point fort c'est la détection des lpi (une vraie plaie ces programmes parasites)

    à tester !

Discussions similaires

  1. Réponses: 3
    Dernier message: 16/03/2015, 07h58
  2. Une faille critique dans Android affecterait 75 % des terminaux
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 30
    Dernier message: 26/09/2014, 09h28
  3. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 20h09
  4. Réponses: 3
    Dernier message: 14/08/2013, 12h08
  5. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 09h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo