Viren, Spyware, Datenschutz 11.230 Themen, 94.476 Beiträge

News: Seit 180 Tagen nichts passiert!

McAfee hat schwerwiegende Sicherheitslücke verpennt

Michael Nickles / 3 Antworten / Flachansicht Nickles

Der "Sicherheitsexperte" McAfee hat unter anderem ein Produkt namens Security-as-a-Service (SaaS) im Angebot. Das soll per Cloud einen lückenlosen Schutz für Endgeräte, Internet, Emails und Netzwerke bieten. SaaS ist in verschiedenen Paketen für 15, 19 und 20 Euro pro Jahr erhältlich.

Heise hat jetzt berichtet, dass McAfees SaaS-Lösung ein Sicherheitsproblem hat. Das Peinliche daran: das Problem ist seit über 180 Tagen bekannt und McAfee hat es nicht beseitigt.

Drum hat die Zero Day Initative jetzt die Informationen zum Sicherheitsproblem öffentlich beschrieben: McAfee SaaS myCIOScn.dll ShowReport Method Remote Command Execution. Angreifer, die das Sicherheitsloch ausnutzen wollen, können das jetzt wohl also tun und McAfee steht unter Druck endlich zu reagieren und das Loch zu stopfen.

Aufgrund fehlerhafter Programmierung der Schutzmechanismen, kann in Browsern schädlicher Code eingeschleust und ausgeführt werden. Die Zero Day Initative hat das Problem deshalb als sehr schwerwiegend eingestuft. Leider wird im Bericht verschweigen - so Heise - welche Produkte aus der SaaS-Palette exakt betroffen sind (im schlimmsten Fall also wohl alle).

Für betroffene Anwender gibt es immerhin einen manuellen Workaround in Form eines Registry-Eintrags, der im Heise-Bericht beschrieben wird. Aktuell hat Heise wohl noch keine Stellungsnahme von McAfee erhalten.

Michael Nickles meint: Was für ein Saftladen! Bereits im April 2011 hat die Zero Day Initiative McAfee über das Sicherheitsproblem informiert. Dass der Fehler jetzt öffentlich beschrieben wurde liegt nur daran, dass McAfee die Beseitigung wohl scheißegal war - oder wurde sie einfach vergessen?

Die Stellungsnahme Mcafees darf mit großer Spannung erwartet werden - so eine kommt. Diese Panne schön zu reden dürfte schwerfallen. Aber die Pressestrategen von McAfee haben aktuell sowieso noch eine weitere peinliche Baustelle.

Die Computerbild hat in der Ausgabe 2/2012 Internet-Schutzprogramme getestet und laut Hinweis der Welt hat. McAfee soll gerade mal 40 Prozent der aktivierten Schadsoftware erkannt und lediglich 30 Prozent entfernt haben.

bei Antwort benachrichtigen
IRON67 Michael Nickles „McAfee hat schwerwiegende Sicherheitslücke verpennt“
Optionen
Das soll per Cloud einen lückenlosen Schutz für Endgeräte, Internet, Emails und Netzwerke bieten.

Wer so etwas verspricht, weiß nicht, wovon er redet (also das Marketing) und wer so etwas glaubt, hat keine Ahnung von komplexer Software (also 90% der Endkunden).

Was für ein Saftladen!

Was das angeht, wimmelt es nur so von Saftläden und der nächste derartige Zwischenfall ist in greifbarer Nähe.
Es gilt seit jeher:

Jede Software hat (vorläufig unentdeckte) Fehler. Und darum gilt ebenso: Jede sicherheitsrelevante Software hat (vorläufig unentdeckte) sicherheitsrelevante Fehler.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen