ESET Updates unverschlüsselt

ESET nutzt für Updates keine Verschlüsselung und ist anfällig für Man in the Middle Angriffe.

Insbesondere durch die jüngst bekannt gewordene Sicherheitslücke in ESET (CVE-2016-0718) verdeutlicht den Impact, welchen eine fehlende Verschlüsselung kombiniert haben kann.

Inhaltsverzeichnis

Vulnerability - Client Updates 1)

Wenn ein Client seine Signaturen updaten will, baut er eine HTTP Verbindung zum Repository Server auf – diese Verbindung ist unverschlüsselt und anfällig für Man in the Middle. Sofern keine Signaturprüfung stattfindet, ist es möglich, Schadcode zu injizieren.

Vulnerability - ESET Remote Administrator Repository Updates 2)

Auch Updates vom ERA Server sind unverschlüsselt, weshalb auch hier ein Man in the Middle möglich ist.

 

Schutz

Ein TLS Zertifikat kostet für die beiden Domains pro Jahr nicht mehr als 10€ pro Domain. Die Schwachstelle wurde uns durch ESET bestätigt – eine Antwort, ob man diese Schwachstelle beheben wolle, haben wir nicht erhalten.

Von einem Sicherheitshersteller erwarten wir an dieser Stelle eine bessere Kommunikation und mehr Transparenz.

Hat Deine IT Schwachstellen?
Wir prüfen Dich!
Zur Schwachstellenanalyse