La vulnérabilité affecte plusieurs produits grand public de McAfee que sont Internet Security Suite, SpamKiller, Privacy Service et Virus Scan Plus, a précisé Marc Maiffret, chercheur chez eEye Digital Security.

Siobhan MacDermott, la porte-parole du groupe McAfee, a confirmé cette vulnérabilité et a indiqué que les développeurs du logiciel testaient actuellement un correctif. Elle a précisé que le patch devrait être disponible mercredi grâce à la procédure de mise à jour automatique. La faille en question n'affecte pas les versions 2007 des produits McAfee distribués samedi dernier.

La brèche permet d'exécuter du code malveillant à distance et de récupérer des informations confidentielles comme des numéros de cartes bancaires ou autres données sensibles. Elle pourrait également permettre de consulter, de modifier et de supprimer des fichiers ainsi que causer des dommages au système, a t-elle rajouté.

Mcafee virusscan 2006


Windows responsable '
En fait, cette faille serait dûe au système d'exploitation de Microsoft qui va lui-même concurrencer McAfee, Symantec, etc. sur le terrain de la sécurité avec la sortie de Windows Vista. Le code arbitraire dont il est question ici viendrait en fait exploiter une fonctionnalité permettant d'automatiser certaines tâches administrateur sous Windows.

Selon un message sur le blogue de McAfee :

" Les produits Microsoft ont toujours été une cible attractive pour les hackers et pour les auteurs de malwares. "

La société McAfee, qui dévoile habituellement les vulnérabilités des autres firmes comme Apple ou Microsoft, a indiqué qu'elle ne rendrait pas publique cette faille pour empêcher les personnes mal intentionnées de l'exploiter.

Rappelons que cette faille arrive deux semaines après qu'eEye ait publiquement révélé une autre brèche de sécurité qui n'avait pas été communiquée aux clients entreprises de McAfee; le groupe avait donc présenté ses excuses pour s'être tu pendant trois mois.

Selon Maiffret, " la vulnérabilité n'est pas publique, donc vous ne devriez pas voir de cas d'attaques ", ajoutant que les utilisateurs devaient configurer les mises à jour de façon automatique. Sale temps pour McAfee.