Grave vulnerabilidad en los productos SaaS (Security-as-a-Service) de McAfee no se ha solucionado en nueve meses

A través de Zero Day Initiative se ha publicado un grave problema de
seguridad en productos McAfee que permite la ejecución remota de código
por parte de atacantes. Aunque McAfee fue informada del fallo hace unos
nueve meses, no se ha solucionado el problema, por lo que se ha
publicado la vulnerabilidad.

El fallo afecta a los productos SaaS (Security-as-a-Service) de la
compañía que utilicen la librería myCIOScn.dll. En ella, el método
MyCioScan.Scan.ShowReport acepta comandos que son luego ejecutados por
otra función sin ningún tipo de autenticación. Este ActiveX permitiría
entonces ejecutar código si la víctima visita una web especialmente
manipulada. El ataque es muy sencillo de programar.

Lo más grave, es que la compañía fue avisada el pasado 1 de abril de
2011. Zero Day Initiative es la organización que ha gestionado la
vulnerabilidad. Según la política de la compañía (impuesta en agosto de
2010) los fabricantes disponen de 180 días (seis meses) para corregir
los errores reportados de forma privada. De lo contrario se harán
públicos. Nueve meses después del primer contacto (no se ha especificado
el porqué de esta demora adicional), la vulnerabilidad ha salido a la
luz sin parche oficial.

La solución, como de costumbre en estos casos, pasa por activar el
killbit del ActiveX para impedir que se instancie desde Internet
Explorer. En concreto, se debe establecer el valor 0x00000400 en la rama
del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
209EBDEE-065C-11D4-A6B8-00C04F0D38B7

Desde que en agosto de 2010 Tippingpoint decidiese poner un límite de
180 días a los fabricantes para corregir sus vulnerabilidades antes de
hacerlas públicas, en 2011 se han sacado a la luz de esta forma hasta 29
alertas, que afectan a compañías como Cisco, HP, IBM o Microsoft. Esto
significa que en ocasiones, para los grandes fabricantes, 6 meses sigue
siendo “insuficiente” para publicar un parche que solucione ciertas
vulnerabilidades reportadas de forma privada.

En agosto de 2011, en Hispasec publicamos la segunda parte de un estudio
en este sentido. De los once fabricantes analizados y sobre 1.045
fallos, se concluía que la media global necesitaban de 177 días para
publicar un parche. El informe está disponible desde:
http://unaaldia.hispasec.com/2011/08/estudio-mozilla-es-el-fabricante-que.html

to, si bien tambien haremos lo propio con la réplica que esperamos hagan desde McAfee.

saludos

ms, 13-1-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con
info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies