McAfeeの統合管理ソフトに未パッチの脆弱性

「ePolicy Orchestrator」にフォーマットストリングエラーの脆弱性が報告された。

» 2008年03月14日 08時49分 公開
[ITmedia]

 米McAfeeのウイルス対策製品管理ソフト「ePolicy Orchestrator」に脆弱性が報告された。パッチはまだ公開されていない。

 セキュリティ企業Secuniaによると、脆弱性はMcAfee Framework Service (FrameworkService.exe)のフォーマットストリングエラーに起因する。攻撃者が細工を施したパケットを使ってFramework Serviceをクラッシュさせたり、任意のコードを実行できる可能性もある。

 脆弱性は、McAfee ePolicy Orchestrator 4.0.0(ビルド1015)で確認された。ほかのバージョンも影響を受ける可能性がある。

 リスクレベルはSecuniaによると5段階で中程度の「Moderately critical」、仏FrSIRTは4段階で最も高い「Critical」となっている。Secuniaでは解決策として、サービスへのネットワークアクセス制限を挙げている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ