• Falhas Graves em Produtos da McAfee Continuam sem Correção

    Neste dia 16 de janeiro, a Zero Day Initiative (ZDI) divulgou informações sobre um problema de segurança na Security-as-a-Service da McAfee (SaaS). O corretor de vulnerabilidades disse, que a companhia se manifestou sobre a existência da brecha de segurança em abril de 2011, e que agora decidiu divulgar publicamente as informações, porque o fornecedor ainda não liberou um patch.

    A falha está contida na biblioteca de programas myCIOScn.dll. Nessa biblioteca, o método MyCioScan.Scan.ShowReport() insuficientemente filtra a entrada do usuário, e executa os comandos embutidos no contexto do navegador. A falha pode ser explorada, quando o usuário abre um arquivo especialmente criado ou acessa uma página Web. De acordo com a ZDI, a questão foi considerada como muito grave e tem recebido um score CVSS de 9 - a severidade máxima é de 10.

    A assessoria da ZDI, não indica exatamente quais são os produtos afetados. Uma gama de produtos SaaS da McAfee, inclui "Email Encryption SaaS" para criptografar e-mails e "Vulnerability Assessment SaaS", que verifica software para vulnerabilidades em potencial.

    Como solução a este sério problema, a ZDI recomenda que os usuários definam o kill bit no registro, a fim de evitar que o Internet Explorer instancie o controle ActiveX afetado. Para isso, o "Compatibility Flags" DWORD entry in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7 deve ser definido como "0x00000400"


    Saiba Mais:

    [1] Zero Day Iniative http://www.zerodayinitiative.com/advisories/ZDI-12-012/
    [2] Heise Online http://www.h-online.com/security/new...s-1413775.html

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L