Сотрудник проекта Google Project Zero продемонстрировал «тривиальный» по его словам способ взлома любого продукта компании ESET.
Обнаруженная им уязвимость является не гипотетической, и позволяет получить полный доступ к системе: удалять и изменять файлы, независимо от установленных прав, инсталлировать и запускать программы, получать доступ к камере, микрофону, сканеру и другим устройствам, записывать клавиши, нажатые на клавиатуре.
Взломанная операционная система внешне никак не будет себя выдавать, и пользователь ничего не заметит. Атаковать таким образом можно любой компьютер в сети, достаточно чтобы пользователь просто открыл ссылку в браузере.
Тэвис Орманди заранее сообщил ESET о найденной им проблеме, благодаря чем за день до того, как он опубликовал в своем блоге соответствующую информацию, уже был выпущен патч, исправляющий ошибку.
Взлом системы стал возможен благодаря уязвимости в эмуляторе ESET. В этой песочнице любой код должен запускаться изолированно, однако Тэвис Орманди нашел брешь в обороне и смог использовать ее для запуска кода непосредственно в операционной системе компьютера.