ESET nutzt für Updates keine Verschlüsselung und ist anfällig für Man in the Middle Angriffe.
Insbesondere durch die jüngst bekannt gewordene Sicherheitslücke in ESET (CVE-2016-0718) verdeutlicht den Impact, welchen eine fehlende Verschlüsselung kombiniert haben kann.
Wenn ein Client seine Signaturen updaten will, baut er eine HTTP Verbindung zum Repository Server auf – diese Verbindung ist unverschlüsselt und anfällig für Man in the Middle. Sofern keine Signaturprüfung stattfindet, ist es möglich, Schadcode zu injizieren.
Auch Updates vom ERA Server sind unverschlüsselt, weshalb auch hier ein Man in the Middle möglich ist.
Ein TLS Zertifikat kostet für die beiden Domains pro Jahr nicht mehr als 10€ pro Domain. Die Schwachstelle wurde uns durch ESET bestätigt – eine Antwort, ob man diese Schwachstelle beheben wolle, haben wir nicht erhalten.
Von einem Sicherheitshersteller erwarten wir an dieser Stelle eine bessere Kommunikation und mehr Transparenz.
