C'est Zero Day Initiative (ZDI) qui a publié des informations sur un problème de sécurité dans les produits McAfee Security-as-a-Service (SaaS). ZDI indique que la vulnérabilité est présente depuis avril 2011 et a donc décidé de divulguer publiquement l'information parce que le vendeur n'a pas encore fourni de correctif.
La faille se trouve dans la bibliothèque de programmes myCIOScn.dll. Dans cette bibliothèque, la méthode MyCioScan.Scan.ShowReport() filtre insuffisamment la saisie utilisateur et exécute les commandes intégrées dans le contexte du navigateur. La faille peut être exploitée lorsqu'un utilisateur ouvre un fichier spécialement conçu ou une page web. ZDI classe ce problème comme très grave et donne un score CVSS de 9 (la sévérité maximale étant de 10 sur cette échelle de risque).
ZDI ne dit pas exactement quels produits de McAfee sont concernés. La gamme des produits SaaS de McAfee inclut "Email Encryption SaaS" pour le cryptage des e-mails et "Vulnerability Assessment SaaS" qui vérifie les vulnérabilités potentielles des logiciels.
Pour contourner ce problème, ZDI recommande aux utilisateurs de définir un kill bit dans la base de registre afin d'empêcher Internet Explorer d'instancier le contrôle ActiveX affecté. Pour ce faire, il faut modifier la clé DWORD de Compatibility Flags dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{209EBDEE-065C-11D4-A6B8-00C04F0D38B7} en lui mettant comme valeur 0x00000400.
C'est quand même dingue qu'un fournisseur de sécurité et prestataire de service laisse une telle vulnérabilité mais que surtout il ne réponde pas aux appels de ZDI en ne se préoccupant pas de sortir un patch... A l'heure actuelle McAfee n'a pas encore répondu...
Edit: McAfee a publié une déclaration disant qu'il était au courant du problème et qu'il avait "examiné l'effet du cas reporté et trouve que le risque est très faible..."
La société n'a toujours pas résolu le problème à l'heure qu'il est mais dit : "Comme il s'agit d'une solution hébergée, les correctifs seront automatiques et tous les clients concernés seront portés vers une version patchée aussi vite que possible."
McAfee déclare qu'il ne croit pas qu'il existe un risque de vulnérabilité "en raison de l'atténuation en place".