Ein Sicherheitsunternehmen sollte sich in Sachen Updatepolitik vorbildlich zeigen. Das dem nicht immer so ist, demonstriert McAfee, denen eine Sicherheitslücke in ihren Programmen seit mehr als 180 Tagen bekannt ist.
McAfee zeigt sich langsam: Kritische Lücke auch nach 180 Tagen nicht geschlossen
Diese Veröffentlichung soll McAfee nun zwingen, zeitnah einen Patch zu entwickeln. Das ZDI stuft das Problem dabei als sehr schwerwiegend ein und vergibt einen CVSS-Score von 9 (von maximal 10 Punkten). Der Fehler in der Programmbibliothek cyCIOScn.dll lässt sich ausnutzen, wenn ein Anwender auf eine speziell angelegte Datei oder Webseite zugreift. Ob noch weitere Produkte neben den Security-as-a-Service-Produkten betroffen sind, gibt das ZDI nicht bekannt.
Allerdings gibt die Zero Day Initiative Ratschläge, wie sich Anwender der betroffenen McAfee-Produkte bis zum Erscheinen eines Patches selbst helfen können. Dazu muss laut ZDI mittels Regedit der DWORD-Eintrag „Compatibility Flags“ in HKEY_LOCAL_MACHINESOFTWARE
MicrosoftInternet ExplorerActiveX Compatibility{209EBDEE-065C-11D4-A6B8-00C
04F0D38B7} auf “0×00000400″ gesetzt werden.
Auch wenn dieses Problem nur sehr wenige Privatanwender betreffen dürfte, da es sich bei der Software um professionelle Sicherheitslösungen handelt, zeigt das langsame Reagieren McAfees, dass auch Sicherheitsdienstleiter bekannte Probleme nicht immer mit hoher Geschwindigkeit angehen. Einen gutes Licht auf die Zuverlässigkeit des Unternehmens wirft der Fall jedenfalls nicht, zumal McAfee auf Anfragen von heise Security bislang nicht geantwortet hat.