Luka w produktach McAfee ma 180 dni
McAfee | 2012-01-17 09:17:56
Zero Day Initiative (ZDI) opublikowało informację o problemie w produktach Security-as-a-Service (SaaS) autorstwa McAfee.
O odnalezionej w nich luce McAfee zostało poinformowane jeszcze w kwietniu 2011 roku i do tej pory producent oprogramowania antywirusowego nic z tym nie zrobił. Dlatego też ZDI zdecydowało się upublicznić tę informację.
Luka dotyczy konkretnie biblioteki myCIOScn.dll. Okazuje się, że znajdująca się w niej metoda MyCioScan.Scan.ShowReport() niezbyt dokładnie filtruje treść wprowadzaną przez użytkownika i jest w stanie uruchamiać polecenia w kontekście przeglądarki. Do ataku z wykorzystaniem tego błędu może dojść po otwarciu specjalnie spreparowanego pliku bądź strony internetowej.
ZDI nie określa wprost, które produkty z serii SaaS są dotknięte luką.
źródło: h-online.com
O odnalezionej w nich luce McAfee zostało poinformowane jeszcze w kwietniu 2011 roku i do tej pory producent oprogramowania antywirusowego nic z tym nie zrobił. Dlatego też ZDI zdecydowało się upublicznić tę informację.
Luka dotyczy konkretnie biblioteki myCIOScn.dll. Okazuje się, że znajdująca się w niej metoda MyCioScan.Scan.ShowReport() niezbyt dokładnie filtruje treść wprowadzaną przez użytkownika i jest w stanie uruchamiać polecenia w kontekście przeglądarki. Do ataku z wykorzystaniem tego błędu może dojść po otwarciu specjalnie spreparowanego pliku bądź strony internetowej.
ZDI nie określa wprost, które produkty z serii SaaS są dotknięte luką.
źródło: h-online.com