Pesquise no PCFórum - Digite sua dúvida aqui
Bem-vindo, Visitante. Por favor efetue Login ou Registre-se
PCFORUM.com.br

    
Notícias:
  Home Fórum Notícias Anuncie AjudaLoginCadastre-se  
 

Sérias vulnerabilidades em produtos da McAfee não são solucionadas após nove meses (Lido 3536 vezes)   
Bechog
Moderador Global

Offline

Indique o PCFORUM
para seus amigos!

Postagens: 214

Sérias vulnerabilidades em produtos da McAfee não são solucionadas após nove meses
13.02.2012 às 11:19:49
 
O Zero Day Initiative publicou um grave problema de segurança nos produtos da McAfee que permite a execução remota de código por invasores. Apesar da McAfee ter sido informada da falha há nove meses, ainda não resolveu o problema.


A falha afeta os produtos SaaS (Security-as-a-Service), os que usam a biblioteca myCIOScn.dll . Nela, o método oMyCioScan.Scan.ShowReport  aceita comandos que são executados por outra função sem qualquer autenticação. Isto permitiria a execução de códigos ActiveX se a vítima visita um Web especialmente manipulada. O ataque é muito simples para se criar.

O mais grave é que a empresa foi avisada no primeiro dia de abril de 2011. A Zero Day Initiative é a organização que conseguiu detectar a vulnerabilidade. De acordo com a política da empresa (publicado em agosto de 2010) os fabricantes têm 180 dias (seis meses)para corrigir os erros relatados de forma privada. Caso contrário, as vulnerabilidades se tornam públicas.  



A solução, como é habitual nestes casos, seria  ativar o killbit do ActiveX para impedir que seja instanciada a partir do Internet Explorer. Especificamente, você deve definir o valor 0x00000400 na seguinte chave de registo:


HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ ActiveX Compatibility \209EBDEE-065C-11D4-A6B8-00C04F0D38B7


Desde agosto de 2010, a TippingPoint decidiu colocar um limite de 180 dias para os fabricantes corrigirem suas vulnerabilidades antes de torná-los públicos.  Em 2011 tornaram públicos 29 alertas, afetando empresas como a Cisco, HP, IBM ou Microsoft. Isto significa que, às vezes, para grandes fabricantes o prazo de 6 meses ainda é insuficiente.

Em agosto de 2011, foi publicado na Hispasec a segunda parte de um estudo neste sentido. Dos onze fabricantes e 1045 falhas analisadas, concluiu-se que a média global de 177 dias são necessários para emitir um patch. O relatório está disponível em:
http://unaaldia.hispasec.com/2011/08/estudio-mozilla-es-el-fabricante-que.html

Mais informações:

(0Day) McAfee SaaS myCIOScn.dll ShowReport Method Remote Command Execution
http://zerodayinitiative.com/advisories/ZDI-12-012/
Voltar ao topo
 

McAfee.jpg
Visualizar Perfil   IP registrado
PCRobô
Divulgador

Online

PCFórum, o mais completo fórum de informática do Brasil!

Postagens: 99999999
Brasil
Gênero: male
Anúncios

Voltar ao topo
Email Visualizar Perfil IP registrado
Bechog
Moderador Global

Offline

Indique o PCFORUM
para seus amigos!

Postagens: 214

Re: Sérias vulnerabilidades em produtos da McAfee não são solucionadas após nove meses
Resposta #1 - 13.02.2012 às 11:20:31
 
                                                                       
Voltar ao topo
 
 
Visualizar Perfil   IP registrado



Visite nossa página inicial e veja mais dicas e conteúdos! Clique aqui!!