Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/01/2012
La fallada afecta els productes SaaS (Security-as-a-Service) de la companyia que utilitzen la llibreria myCIOScn.dll. En ella, el mètode MyCioScan.Scan.ShowReport accepta comandaments que són després executats per una altra funció sense cap tipus d’autenticació. Este ActiveX permetria llavors executar codi si la víctima visita una web especialment manipulada. L’atac és molt senzill de programar.
El més greu és que la companyia va ser avisada el passat 1 d’abril de 2011. Zero Day Initiative es l’organització que ha gestionat la vulnerabilitat. Segons la política de la companyia (imposada a l’agost de 2010) els fabricants disposen de 180 dies (sis mesos) per a corregir els errors reportats de forma privada. En cas contrari es faran públics. Nou mesos després del primer contacte (no s’ha especificat el perquè d’esta demora addicional), la vulnerabilitat ha eixit a la llum sense pegat oficial.
Des que a l’agost de 2010 Tippingpoint va decidir posar un límit de 180 dies als fabricants per a corregir les seues vulnerabilitats abans de fer-les públiques, en 2011 s’han tret a la llum d’esta manera fins a 29 alertes, que afecten companyies com a Cisco, HP, IBM o Microsoft. Açò significa que de vegades, per als grans fabricants, sis mesos continua sent “insuficient” per a publicar un pegat que solucione certes vulnerabilitats reportades de forma privada.
Sistemes Afectats:McAfee SaaS Endpoint Protection 5.x
Referències:None
Solució:La solució, com de costum en estos casos, passa per activar el killbit de l’ActiveX per a impedir que s’instancie des d’Internet Explorer. En concret, s’ha d’establir el valor 0x00000400 en la branca del registre:
http://www.zerodayinitiative.com/advisories/ZDI-12-012/
http://unaaldia.hispasec.com/2012/01/grave-vulnerabilidad-en-productos.html
http://secunia.com/advisories/47520/