Der "Sicherheitsexperte" McAfee hat unter anderem ein Produkt namens Security-as-a-Service (SaaS) im Angebot. Das soll per Cloud einen lückenlosen Schutz für Endgeräte, Internet, Emails und Netzwerke bieten. SaaS ist in verschiedenen Paketen für 15, 19 und 20 Euro pro Jahr erhältlich.
Heise hat jetzt berichtet, dass McAfees SaaS-Lösung ein Sicherheitsproblem hat. Das Peinliche daran: das Problem ist seit über 180 Tagen bekannt und McAfee hat es nicht beseitigt.
Drum hat die Zero Day Initative jetzt die Informationen zum Sicherheitsproblem öffentlich beschrieben: McAfee SaaS myCIOScn.dll ShowReport Method Remote Command Execution. Angreifer, die das Sicherheitsloch ausnutzen wollen, können das jetzt wohl also tun und McAfee steht unter Druck endlich zu reagieren und das Loch zu stopfen.
Aufgrund fehlerhafter Programmierung der Schutzmechanismen, kann in Browsern schädlicher Code eingeschleust und ausgeführt werden. Die Zero Day Initative hat das Problem deshalb als sehr schwerwiegend eingestuft. Leider wird im Bericht verschweigen - so Heise - welche Produkte aus der SaaS-Palette exakt betroffen sind (im schlimmsten Fall also wohl alle).
Für betroffene Anwender gibt es immerhin einen manuellen Workaround in Form eines Registry-Eintrags, der im Heise-Bericht beschrieben wird. Aktuell hat Heise wohl noch keine Stellungsnahme von McAfee erhalten.
Michael Nickles meint: Was für ein Saftladen! Bereits im April 2011 hat die Zero Day Initiative McAfee über das Sicherheitsproblem informiert. Dass der Fehler jetzt öffentlich beschrieben wurde liegt nur daran, dass McAfee die Beseitigung wohl scheißegal war - oder wurde sie einfach vergessen?
Die Stellungsnahme Mcafees darf mit großer Spannung erwartet werden - so eine kommt. Diese Panne schön zu reden dürfte schwerfallen. Aber die Pressestrategen von McAfee haben aktuell sowieso noch eine weitere peinliche Baustelle.
Die Computerbild hat in der Ausgabe 2/2012 Internet-Schutzprogramme getestet und laut Hinweis der Welt hat. McAfee soll gerade mal 40 Prozent der aktivierten Schadsoftware erkannt und lediglich 30 Prozent entfernt haben.