Zero Day Initiative (ZDI) opublikowało informację o problemie w produktach Security-as-a-Service (SaaS) autorstwa McAfee.
O odnalezionej w nich luce McAfee zostało poinformowane jeszcze w kwietniu 2011 roku i do tej pory producent oprogramowania antywirusowego nic z tym nie zrobił. Dlatego też ZDI zdecydowało się upublicznić tę informację.
Luka dotyczy konkretnie biblioteki myCIOScn.dll. Okazuje się, że znajdująca się w niej metoda MyCioScan.Scan.ShowReport() niezbyt dokładnie filtruje treść wprowadzaną przez użytkownika i jest w stanie uruchamiać polecenia w kontekście przeglądarki. Do ataku z wykorzystaniem tego błędu może dojść po otwarciu specjalnie spreparowanego pliku bądź strony internetowej.
ZDI nie określa wprost, które produkty z serii SaaS są dotknięte luką.
Aby ustrzec się luki w produktach McAfee należy : źródło: h-online.com
Zaleca się obecnie dokonanie odpowiedniej zmiany w rejestrze wyłączającego felerną kontrolkę ActiveX. Należy w kluczu HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ ActiveX Compatibility \ 209EBDEE-065C-11D4-A6B8-00C04F0D38B7 dodać wpis "Compatibility Flags" DWORD ustawiony na "0x00000400".
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
