Критическая дыра в продуктах McAfee не исправлена в течение 180 дней
Zero Day Initiative (ZDI) опубликовала информацию о проблемах с безопасностью продуктов Security-as-a-Service (SaaS) от McAfee. Говорится, что McAfee о дыре сообщили еще в апреле 2011 года, и что теперь было принято решение о публикации информации об уязвимости, потому что производитель так и не выпустил патч.
Уязвимость содержится в программной библиотеке myCIOScn.dll. В этой библиотеке, метод MyCioScan.Scan.ShowReport() method недостаточно фильтрует пользовательский ввод и выполняет встроенный команды в контексте браузера. Уязвимость может быть использована при открытии пользователем специального созданного файла или веб-страницы. ZDI отмечает эту проблему как сложную и дает оценку CVSS 9 балов – максимальная степень равняется 10.
У ZDI не говорится, какие именно продукты могу пострадать. Линейка McAfee продукции SaaS включает «SaaS Email Encryption» для шифрования электронной почты и «Vulnerability Assessment SaaS», проверяющий программное обеспечение на потенциальные уязвимости.
В качестве запасной меры, ZDI рекомендует установить в реестре флаг блокировки, запрещающий Internet Explorer устанавливать рискованные элементы управления ActiveX. Чтобы это сделать, запись DWORD «Compatibility Flags» в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7 должна быть установлена в «0×00000400».
http://www.zerodayinitiative.com
