McAfeeは、同社ソフトウェア「SecurityCenter」のセキュリティホールを修正した。SecurityCenterは「VirusScan」から「Internet Security Suite」や「Total Protection」まで、同社の個人向け製品で広く使われている。
同社はこの脆弱性に対応するために、アップデート版であるSecurityCenter 7.0を公開した。同社が米国時間7月31日に公表した「McAfee Security Bulletin」によると、同脆弱性が悪用された場合、悪意のあるウェブサイトへのリンクをユーザーがクリックすると、攻撃者はそのPCをリモートから制御できるようになるという。
今回の問題はバージョン4.3から6.0.22までのSecurityCenterに存在する、と同社では述べている。これらの古いバージョンを利用し続ける場合、McAfeeが8月2日に公開する予定のセキュリティパッチで対応する必要がある。同社によれば、企業向け製品はこのセキュリティホールには影響されないという。
SecurityCenterは、1回のクリックでシステムのセキュリティ状態に関する情報を得ることができる、個人および中小企業顧客向けの製品である。
この脆弱性を発見し、McAfeeに通知したeEye Digital Securityの広報担当者であるMike Puterbaugh氏は、「SecurityCenterは個人向け製品であり、安全性のレベルは企業向けの製品よりも劣る」と述べている。
eEyeは、リモートからコードを実行できる可能性があることから、この脆弱性の危険度を「極めて重大」に設定している。一方、この脆弱性が問題となるためにはユーザーの行動を介する必要があることから、McAfeeはこの脆弱性の危険度を「中」としている。
Puterbaugh氏は、はっきりとセキュリティアップデートであると記されていなければ、利用者はアップデート版をインストールしないのではないかと発言している。
McAfeeは7月19日にeEyeからSecurityCenterの脆弱性の通知を受けて以降、システムが侵入されたという報告は受けていないと述べている。
一部のユーザーは、SecurityCenter 7.0を利用したところ、Microsoftの「ActiveSync」を利用した携帯PCの同期ができなくなったとの不満を述べている。McAfeeの広報担当者は、この問題について調査中であると発表している。
McAfeeがeEyeから同社ソフトウェアの脆弱性に関する連絡を受けるのは、このSecurityCenterのセキュリティホールの問題で最近では2度目だ。eEyeは7月に入って、McAfeeの「ePolicy Orchestrator」にセキュリティホールを発見したと発表している。このソフトウェアは、企業ユーザーが端末のセキュリティ管理と監視を集中的に行うもの。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス