Критическая дыра в продуктах McAfee не исправлена в течение 180 дней

Критическая дыра в продуктах McAfee не исправлена в течение 180 дней​

Zero Day Initiative (ZDI) опубликовала информацию о проблемах с безопасностью продуктов Security-as-a-Service (SaaS) от McAfee. Говорится, что McAfee о дыре сообщили еще в апреле 2011 года, и что теперь было принято решение о публикации информации об уязвимости, потому что производитель так и не выпустил патч.

Уязвимость содержится в программной библиотеке myCIOScn.dll. В этой библиотеке, метод MyCioScan.Scan.ShowReport() method недостаточно фильтрует пользовательский ввод и выполняет встроенный команды в контексте браузера. Уязвимость может быть использована при открытии пользователем специального созданного файла или веб-страницы. ZDI отмечает эту проблему как сложную и дает оценку CVSS 9 балов – максимальная степень равняется 10.

У ZDI не говорится, какие именно продукты могу пострадать. Линейка McAfee продукции SaaS включает «SaaS Email Encryption» для шифрования электронной почты и «Vulnerability Assessment SaaS», проверяющий программное обеспечение на потенциальные уязвимости.

В качестве запасной меры, ZDI рекомендует установить в реестре флаг блокировки, запрещающий Internet Explorer устанавливать рискованные элементы управления ActiveX. Чтобы это сделать, запись DWORD «Compatibility Flags» в HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility209EBDEE-065C-11D4-A6B8-00C04F0D38B7 должна быть установлена в «0×00000400».