Une vulnérabilité dans McAfee Internet Security Suite 2005
Une faille de sécurité a été découverte dans le logiciel McAfee Internet ...
Une faille de sécurité a été découverte dans le logiciel McAfee Internet Security Suite 2005 par les labos de sécurités IDefense. On rappellera que ce logiciel est notablement utilisé pour la protection contre les virus et qu’il intègre un firewall ainsi qu’un système complet destiné à protéger plus globalement les données privées.
Selon Idefense, cependant, un bug permet à une personne de prendre les pleins pouvoirs sur le PC hôte alors même qu’elle n’a que des droits restreints. Le problème réside dans les données de configurations appliquées lors que l’installation. Elle donne à quiconque la possibilité de supprimer les verrous de son compte et de faire à peu près ce qu’elle veut, comme le peut un administrateur. De même, dans une configuration en réseau, la faille dont peu ou pas d’informations techniques sont données, permet par exemple d’installer un système P2P dans l’enceinte de l’entreprise et de partager de sombres fichiers avec ses collègues.
Fort heureusement, l’éditeur est en train de mettre à disposition un patch via la mise à jour automatique du logiciel. On consultera la fiche d’Idefense sur cette page ainsi que celle rédigée par Sécunia, un autre labo de sécurité.
On notera au passage qu’Idefense a basé sa politique sur la rétribution monétaire. Ceux qui découvrent des failles de sécurité peuvent se faire payer pour leurs travaux en fournissant en avant première leurs chaudes infos. (plus d’infos ici et là).
Business is Business, mais c’est aussi une façon dangereuse de solliciter quelques vocations...
Selon Idefense, cependant, un bug permet à une personne de prendre les pleins pouvoirs sur le PC hôte alors même qu’elle n’a que des droits restreints. Le problème réside dans les données de configurations appliquées lors que l’installation. Elle donne à quiconque la possibilité de supprimer les verrous de son compte et de faire à peu près ce qu’elle veut, comme le peut un administrateur. De même, dans une configuration en réseau, la faille dont peu ou pas d’informations techniques sont données, permet par exemple d’installer un système P2P dans l’enceinte de l’entreprise et de partager de sombres fichiers avec ses collègues.
Fort heureusement, l’éditeur est en train de mettre à disposition un patch via la mise à jour automatique du logiciel. On consultera la fiche d’Idefense sur cette page ainsi que celle rédigée par Sécunia, un autre labo de sécurité.
On notera au passage qu’Idefense a basé sa politique sur la rétribution monétaire. Ceux qui découvrent des failles de sécurité peuvent se faire payer pour leurs travaux en fournissant en avant première leurs chaudes infos. (plus d’infos ici et là).
Business is Business, mais c’est aussi une façon dangereuse de solliciter quelques vocations...
Marc Rees
le 20 avril 2005 à 11:40
(4 146
lectures)
Actualités et brèves relatives
- 14 / 04 / 2005 : Failles, une pour Microsoft Office, une pour OpenOffice
- 13 / 04 / 2005 : Microsoft présente sa panoplie de patchs anti-tracas
- 05 / 04 / 2005 : JavaScript ouvre une faille dans Firefox et Netscape
- 04 / 04 / 2005 : Deux failles cachées dans Internet Explorer et Outlook
- 31 / 03 / 2005 : Symantec colmate deux trous dans Norton Antivirus
- 30 / 03 / 2005 : Michael gagne 2500$ grâce à la prime au trou Mozilla
- 25 / 03 / 2005 : Firefox plus sécurisé que IE : la réponse de Microsoft
- 24 / 03 / 2005 : Mac OS X, la menace n'est pas fantôme selon Symantec
- 23 / 03 / 2005 : MacOS X : failles corrigées du mois de Mars
