A través de Zero Day Initiative se ha publicado un grave problema de seguridad en productos McAfee
que permite la ejecución remota de código por parte de atacantes.
Aunque McAfee fue informada del fallo hace unos nueve meses, no se ha
solucionado el problema, por lo que se ha publicado la vulnerabilidad.
El
fallo afecta a los productos SaaS (Security-as-a-Service) de la
compañía que utilicen la librería myCIOScn.dll. En ella, el método
MyCioScan.Scan.ShowReport acepta comandos que son luego ejecutados por
otra función sin ningún tipo de autenticación. Este ActiveX permitiría
entonces ejecutar código si la víctima visita una web especialmente
manipulada. El ataque es muy sencillo de programar.
Lo
más grave, es que la compañía fue avisada el pasado 1 de abril de 2011.
Zero Day Initiative es la organización que ha gestionado la
vulnerabilidad. Según la política de la compañía (impuesta en agosto de
2010) los fabricantes disponen de 180 días (seis meses) para corregir
los errores reportados de forma privada. De lo contrario se harán
públicos. Nueve meses después del primer contacto (no se ha especificado
el porqué de esta demora adicional), la vulnerabilidad ha salido a la
luz sin parche oficial.
Visto en unaaldia.hispasec.com
No hay comentarios:
Publicar un comentario