McAfeeがソフト脆弱性をこっそり修正

McAfeeが企業向けソフトの深刻な脆弱性を、顧客に適切な通知を行わないまま密かに修正していたとして、eEyeが問題を暴露した。

[ITmedia]

　McAfeeの企業向け製品に組み込まれているリモートセキュリティ管理ソフトePolicy Orchestrator（ePO）に、リモートからのコード実行を許す深刻な脆弱性が見つかったとして、セキュリティ企業のeEye Digital Securityが7月13日、サイトで情報を公開した。同社によれば、McAfeeではこの問題を顧客に知らせることなくこっそり修正していたいう。

　eEyeのアドバイザリーによると、影響を受けるのはMcAfee ePolicy Orchestrator（ePO）エージェントの3.5.5.438よりも前のバージョン。ePO管理コンソールのFramework Serviceコンポーネントに深刻な脆弱性が存在し、これを突いて攻撃を仕掛けると、リモートシステムの任意の場所に任意のファイルを書き込むことができてしまう。これにより、攻撃者がシステムを制御し、コードを実行することが可能になる。

　この脆弱性はMcAfeeとeEye Digital Securityが別々に発見したが、McAfeeはeEyeに見つかる前に、顧客に適切な通知を行わないままこっそり修正していたと同社は批判。ソフトベンダーがアップデートを提供する際はセキュリティと機能を区別することが重要なのに、それをしなかったのは顧客を裏切る行為だと指摘している。

　eEyeではユーザーに対し、最新のePOフレームワークがインストールされているかどうかを確認するよう勧告。最新版でない場合はできるだけ早期にMcAfeeの顧客サイトにログインし、バージョン3.5.5.438以降をダウンロードして既存のePOエージェントをアップグレードするよう呼び掛けている。