Schwachstellen in McAfees Antivirenlösungen

    Schwachstellen in McAfees Antivirenlösungen

    In den VirusScan-Enterprise- und Common-Management-Agent-Produkten (CMA) von McAfee ( http://www.mcafee.de ) wurden Sicherheitslücken entdeckt!!!

    So könnten eingeschränkte Nutzer ihre Rechte auf dem System ausweiten. McAfee reagierte sofort und stellt Updates für die Produkte bereit, die das Problem auch definitiv beseitigen. Bei einem Update wird auch gleich noch eine weitere Lücke geschlossen, die im McAfee-Sicherheits-Center das Einschleusen und Ausführen von Code erlaubt.

    Nun weiß ich auch, warum ich heute ein Update bekam...das beruhigt nun...

    Die Problematik: VirusScan-Enterprise-8.0i(Patch 11) und Common-Management-Agent-3.5(Patch 5) starten den Prozess naPrdMgr.exe, der mit Systemrechten läuft. Dieser ruft dann die Datei \Program Files\Network Associates\VirusScan\EntVUtil.EXE auf englischsprachigen Systemen auf, ohne jedoch den Pfad in Anführungszeichen zu setzen. Dadurch wird das Leerzeichen im Pfad als Trennzeichen für beispielsweise Optionen interpretiert und das System testet erst das Vorhandensein von \Program.exe, anschließend \Program Files\Network.exe und startet diese, sofern sie existieren.

    Auf deutschen Systemen hingegen wird lediglich in der Standardinstallation die Datei \Programme\Network.exe gesucht. Gelingt es einem Angreifer, diese Datei auch anzulegen, kann er sie anschließend mit Administratorrechten ausführen lassen.

    Dies könnte eine weiterer Fehler im Sicherheits-Center diverser McAfee-Produkte ermöglichen. Es nutzt das ActiveX-Control MCINSCTL.DLL, um ein Object mit dem Namen MCINSTALL.McLog zu erzeugen, das eigentlich dazu gedacht ist, Installationsvorgänge durch das Sicherheits-Center in Dateien zu protokollieren. Da McAfee jedoch den Objekt-Zugriff auf bestimmte Zonen oder Seiten nicht über die IObjectSafetySiteLock()-API beschränkt, könnte eine böswillige Webseite dieses Objekt instanziieren und beispielsweise im Autostart-Ordner beliebige Dateien anlegen, die beim nächsten Neustart des Rechners ausgeführt werden.

    Nutzern dieser McAfee-Produkte ist ein Update dringend anzuraten, sofern dies nicht schon automatisch eingespielt wurde, was ich imemr wieder detlich empfehle.

    Siehe dazu auch:

    Privilege escalation in McAfee VirusScan Enterprise 8.0i (patch 11) and CMA 3.5 (patch 5), Security Advisory von Reed Arvin

    McAfee Security Center MCINSCTL.DLL ActiveX Control File Overwrite Vulnerability, Security Advisory von iDefense

    Quelle: http://www.heise.de

    Ist schon irgendwie komisch erst Norton, dann Zone Alarm und jetzt auch noch Mc Affee
    Können die Hersteller von kommerzieller Software ihre Produkte nicht mehr testen?
    Andauernd liest man, daß es Sicherheitsprobleme gibt.

    Ärgerlich an dem ganzen ist doch, daß man viel Geld in seine Sicherheit steckt, um am Ende heraus zufinden, das sie dann gar nicht sicher ist.

    Aber McAfee hatte wenigstens wieder sofort ein Update parat. Andere hinken da oft hinterher oder schieben nie einen Riegel vor.

    Ab und zu gibt es wie bei MS mit dem IE "hirnrissige Tipps"...

    100prozentige Sicherheit wird es nie geben, aber solche Produkte sind dennoch unentbehrlich.

    Die Produkte sind gewiss alle getestet, aber man kann ja nicht alles austesten, schließlich hat jeder Nutzer andere hardware oder Software aufd em Rechner...und das alles kompatibel zu machen, autsch...