El pasado 12 de Enero, desde Zero Day Initiative, informan de una vulnerabilidad reportada a McAfee el 1 de Abril de 2.011 y cuya solución sigue sin estar disponible en la fecha de publicación por parte de Zero Day Initiative: ¡¡más de 9 meses sin darle solución!!.
Esta vulnerabilidad, que afecta al producto Security-as-a-Service de McAfee, permite a atacantes remotos la ejecución de código arbitrario en instalaciones de McAfee Security-as-a-Service vulnerables. La interacción por parte del usuario es necesaria para explotar esta vulnerabilidad en la que el objetivo (el usuario de la aplicación) debe visitar una página manipulada o bien abrir un fichero.
El fallo afecta a la librería myCIOScn.dll. Dentro de esta librería, MyCioScan.Scan.ShowReport() acepta comandos que son pasados a una función que simplemente los ejecuta sin necesidad de autenticación, lo que puede ser aprovechado por un atacante para ejecutar código arbitrario dentro del contexto del navegador.
La vulnerabilidad, como se ha comentado anteriormente, fue puesta en conocimiento de McAfee el 1 de Abril de 2.011, por lo que tras pasar más de 180 días desde que se comunicó a McAfee y siguiendo la política de Zero Day Initiative, se ha publicado sin que, por el momento, exista una solución al problema.
Sin embargo, para mitigar el problema mientras McAfee saca un parche definitivo, podemos modificar DWORD de la siguiente clave de registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7
con el valor 0x00000400.
Esto impide la ejecución de controles ActiveX en Internet Explorer.Para más información podéis visitar: http://support.microsoft.com/kb/240797
No hay comentarios:
Publicar un comentario