Ausgerechnet der AV-Hersteller McAfee scheint es mit der Sicherheit seiner Nutzer nicht besonders ernst zu nehmen. Denn offenbar wurde eine bereits im April 2011 entdeckte Sicherheitslücke in den
Security-as-a-Service-Produkten (SAS) immer noch nicht geschlossen. Da die
Zero Day Initiative (ZDI) das Problem auf Basis des
CVSS-Scores mit 9 von 10 Punkten als besonders schwerwiegend einstuft, entschied sich die Gruppe nun nach 180 Tagen doch zur Veröffentlichung. Welche McAfee-Produkte genau von der Sicherheitslücke betroffen sind, verrät der ZDI-Advisory allerdings nicht.
Der Fehler soll sich in der Programmbibliothek myCIOScn.dll befinden. Die Funktion MyCioScan.Scan.ShowReport() prüft Benutzereingaben nicht ausreichend und führt dann eingebettete Kommandos im Kontext des Browsers aus. Der Besuch einer manipulierten Webseite oder der Start eines Schadprogramms kann schon genügen, um den Fehler auszunutzen.