Vulnerabilidad en productos McAfee tiene seis meses sin corregir

Mcafflog

La Zero Day Iniatiative ha dado a conocer una vulnerabilidad crítica que afecta a diferentes productos de McAfee y que hasta ahora no ha sido corregida. La organización hizo públicos los detalles debido a que el fallo fue reportado a la firma en abril de 2011 y se han cumplido los 180 días que dan como limite a los desarrolladores para que lancen un parche de seguridad.

De acuerdo con la información expuesta, la vulnerabilidad es provocada por un error en la librería myCIOScn.dll y puede ser explotada para ejecutar código remoto con el simple hecho de que la víctima abra un archivo o una página web que ha sido especialmente modificada. A pesar de que por algún motivo McAfee no ha lanzado un parche, el fallo de seguridad es para alertar a los usuarios ya que la ZDI lo ha definido como altamente peligroso.

Si bien no se han especificado los productos que sufren de este problema de seguridad, se ha confirmado que afecta a diferentes aplicaciones tipo SaaS (Software as a Service) como SaaS Email Encryption, el cual permite a los usuarios cifrar correos electrónicos y Vulnerability Assessment SaaS, que es utilizado para analizar programas en busca de potenciales vulnerabilidades de seguridad.

Aunque es de suponerse que McAfee ya esté trabajando en un parche con la presión que supone que la vulnerabilidad se ha hecho pública, hasta el momento la compañía no ha hecho ningún comunicado el respecto ni se ha confirmado una posibles fecha de lanzamiento para una actualización.

Por lo pronto, como solución temporal hasta que se lance un parche oficial, ZDI ha recomendado a los usuarios aplicar un killbit en el registro de Windows para evitar que Internet Explorer ejecute el control ActiveX afectado. Para ello, es necesario dirigirse a la entrada «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7» y modificar el valor DWORD por 0x00000400.

Scroll al inicio