McAfeeのコンシューマー製品に脆弱性

McAfeeのウイルス対策やファイアウォールなど各種コンシューマー向け製品に使われている管理モジュールに脆弱性が見つかった。

[ITmedia]

　McAfeeのコンシューマー向けセキュリティ製品管理に使われている「McAfee Security Center」に脆弱性が発見された。同社は問題に対処したアップデートをリリース済みだが、ユーザーが自動更新を設定していない場合、手動で適用する必要がある。

　仏FrSIRTなどが5月9日に公開したアドバイザリーによると、McAfee Security Centerのサブスクリプション管理モジュール「MCSUBMGR.DLL」にバッファオーバーフローの脆弱性が存在する。これを悪用されると、リモートの攻撃者がDoS（サービス拒否）状態を誘発したり、システムを完全に制御することが可能になる。

　問題をMcAfeeに通報したiDefense Labsによれば、この脆弱性は簡単に悪用することが可能で、攻撃者がユーザーを騙して悪質なWebサイトを閲覧させることにより、任意のコードを実行できてしまう。

　Security Centerは、McAfeeのウイルス対策やファイアウォールなど各種コンシューマー向け製品に使われている。影響を受けるのはMcAfee Internet Security Suite、Total Protection、VirusScan Plus、Personal Firewall Plus、Privacy Service、SpamKiller、QuickClean、AntiSpyware、Wireless Home Network Securitなど。

　McAfeeのアドバイザリーによると、脆弱性に対処したSecurity Center 7.2.147と6.0.25は3月22日に公開済み。ユーザーが自動アップデートを設定している場合は既に適用されているはずだが、手動にしている場合はアップデートを実行してほしいと促している。