Компания ESET выпустила исправления для уязвимости CVE-2024-0353 (7,8 балла по шкале CVSS) в своих потребительских, бизнес и серверных защитных продуктах для Windows. Сообщается, что баг мог привести к повышению привилегий.
Уязвимость была обнаружена в функции защиты файловой системы, которая работает в режиме реального времени. Согласно сообщению компании, злоумышленники с низкими привилегиями могут эту использовать проблему для удаления произвольных файлов с привилегиями System.
«Уязвимость потенциально позволяет злоумышленнику использовать файловые операции ESET, осуществляемые защитой файловой системы в режиме реального времени, для удаления файлов без соответствующего разрешения», — говорится в сообщении компании.
По словам представителей ESET, ошибку обнаружили исследователи из Trend Micro ZDI, и следов ее эксплуатации хакерами найдено не было.
Уязвимость затрагивает антивирусные, endpoint и серверные продукты ESET для Windows, а также средства защиты электронной почты и продукты для Exchange Server, IBM Domino, SharePoint Server и Azure.
Патчи для устранения уязвимости были выпущены для: NOD32 Antivirus, Internet Security, Smart Security Premium, Security Ultimate, Endpoint Antivirus и Endpoint Security для Windows, Server Security для Windows Server, Mail Security для Exchange Server и IBM Domino, а также ESET Security для SharePoint Server.
