ESET Updates unverschlüsselt

 In Allgemein

ESET Updates unverschlüsselt

ESET nutzt für Updates keine Verschlüsselung und ist anfällig für Man in the Middle Angriffe.

Insbesondere durch die jüngst bekannt gewordene Sicherheitslücke in ESET (CVE-2016-0718) verdeutlicht den Impact, welchen eine fehlende Verschlüsselung kombiniert haben kann.

Vulnerability – Client Updates 1)

Wenn ein Client seine Signaturen updaten will, baut er eine HTTP Verbindung zum Repository Server auf – diese Verbindung ist unverschlüsselt und anfällig für Man in the Middle. Sofern keine Signaturprüfung stattfindet ist es möglich Schadcode zu injizieren.

Vulnerability – Eset Remote Administrator Repository Updates 2)

Auch Updates vom ERA Server sind unverschlüsselt, weshalb auch hier ein Man in the Middle möglich ist.

Schutz

Ein TLS Zertifikat kostet für die beiden Domains pro Jahr nicht  mehr als 10€ pro Domain. Die Schwachstelle wurde uns durch ESET bestätigt – eine Antwort ob man diese Schwachstelle beheben wolle haben wir nicht erhalten.

Von einem Sicherheitshersteller erwarten wir an dieser Stelle eine bessere Kommunikation und mehr Transparenz.

Quelle: Prosec Networks

Recent Posts
Comments
  • Antworten

    Hallo, dies ist ein Kommentar.
    Um mit dem Freischalten, Bearbeiten und Löschen von Kommentaren zu beginnen, besuche bitte die Kommentare-Ansicht im Dashboard.
    Die Avatare der Kommentatoren kommen von Gravatar.

Leave a Comment