|
Seit 9 Monaten Sicherheitslücke in McAfee-Produkten
Bereits im April 2011 hat die Zero Day Initiative (ZDI) Hersteller McAfee auf
eine Sicherheitslücke in seinen Security-as-a-Service-Produkten aufmerksam
gemacht.
Nachdem seitens McAfee nun nach dieser enorm langen Zeitspanne
immer noch kein Patch gegen die Schwachstelle vorliegt, hat man sich bei ZDI nun
zur Veröffentlichung entschieden.
Der Fehler liegt in der
Programmbibliothek myCIOScn.dll, wo die Methode MyCioScan.Scan.ShowReport()
Benutzereingaben nicht ausreichend filtert, sondern eingebettete Befehle im
Kontextmenü des Browsers ausführt. Mittels einer präparierten Datei oder
Webseite kann ein Angreifer den Fehler für einen Angriff ausnutzen. Das ZDI
stuft den Fehler als sehr schwerwiegend ein, im CVSS-Store, bei der das Maximum
des Schweregrades mit 10 beziffert wird, erhält die Sicherheitslücke den Score
9.
Dass ausgerechnet ein Hersteller und Dienstleister im Sicherheitsbereich
sich derart unbekümmert darstellt, ist schon bemerkenswert. McAfee hat bislang
noch nicht auf die Veröffentlichung reagiert. (16.01.11, Heise)
Mehr zum Thema:
Neue Patches für kritische
Sicherheitslücken
|
0 Kommentar(e)
Schreibe den ersten Kommentar:
|
|
