Kritische Lücke in McAfee-Produkten nach über 180 Tagen noch offen

Die Zero Day Inititiative (ZDI) hat Informationen über ein Sicherheitsproblem in den Security-as-a-Service-Produkten von McAfee veröffentlicht. Der Schwachstellen-Broker hatte McAfee nach eigenen Angaben bereits im April 2011 über die Lücke informiert. Nachdem der Hersteller immer noch keinen Patch bereitgestellt habe, hat sich die ZDI nun zur Veröffentlichung entschieden.

Es handelt sich dabei um einen Fehler in der Programmbibliothek myCIOScn.dll. Dort filtert die Methode MyCioScan.Scan.ShowReport() Benutzereingaben nicht ausreichend, sondern führt eingebettete Befehle im Kontext des Browsers aus. Der Fehler lässt sich ausnutzen, wenn ein Anwender eine speziell präparierte Datei oder Webseite öffnet. ZDI stuft das Problem als sehr schwerwiegend ein und gibt ihm einen CVSS-Score von 9 – der maximal Schweregrad beträgt 10.

Welche Produkte konkret betroffen sind, lässt sich dem ZDI-Advisory nicht entnehmen. Zu McAfees SaaS-Produktpalette gehören unter anderem "SaaS Email Encryption" zur E-Mail-Verschlüsselung oder "Vulnerability Assessment SaaS" zum Prüfen von Software auf Schwachstellen.

Als Abhilfe empfiehlt die ZDI, das Killbit in der Registry zu setzen, um zu verhindern, dass der Internet Explorer das betroffene AcitiveX-Control instantiiert. Dazu muss der DWORD-Eintrag "Compatibility Flags" in HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\ActiveX Compatibility\{209EBDEE-065C-11D4-A6B8-00C
04F0D38B7} auf "0x00000400" gesetzt werden.

Bemerkenswert ist, dass sich ausgerechnet ein Hersteller und Dienstleister im Bereich Sicherheit eine solche Blöße gibt. Auf diesbezügliche Nachfragen von heise Security hat McAfee bislang nicht geantwortet. (dta)