Een programma van McAfee voor het beveiligen van bedrijfsomgevingen bevat verschillende kwetsbaarheden waardoor een aanvaller de software kan omzeilen. Het gaat om McAfee Application Control, software om ongeautoriseerde applicaties op servers, desktops en andere apparaten te blokkeren en waarmee toegestane programma's op een whitelist kunnen worden geplaatst.

Beveiligingsbedrijf SEC Consult ontdekte verschillende kwetsbaarheden die het voor een aanvaller mogelijk maken om de beveiliging die het programma moet bieden te omzeilen en de beschikbaarheid van het systeem aan te vallen. Naast kwetsbaarheden in de kernel-driver en onvoldoende schijfbescherming wordt de software met een zip-programma uit 1999 geleverd, namelijk Info-ZIP. Dit zip-programma bevat kwetsbaarheden die algemeen bekend zijn en waarmee een aanvaller de applicatie-whitelisting kan omzeilen.

McAfee werd op 3 juni vorig jaar over de problemen in de software gewaarschuwd. Aangezien het bedrijf de kwetsbaarheden volgens SEC Consult niet op tijd patchte werd op 28 juli vorig jaar een advisory met informatie over de kwetsbaarheden gepubliceerd. McAfee liet weten dat het de beveiligingslekken in het derde kwartaal van 2015 zou dichten, maar de problemen zijn nog altijd niet opgelost. Daarop heeft SEC Consult nu een whitepaper (pdf) over de problemen gepubliceerd.

Update

McAfee laat in een reactie aan Security.NL het volgende weten: "nadat de onderzoekers ons vorige zomer op de hoogte brachten van hun zorgen, hebben we de scenario's die zij schetsten direct onderzocht. We kwamen tot de conclusie dat klanten die onze standaard configuratierichtlijnen voor een uitrol volgen, beschermd zijn tegen deze scenario's."