セキュリティ・ベンダーの米eEye Digital Securityは現地時間7月13日,米McAfeeのセキュリティ・ポリシー集中管理ツール「ePolicy Orchestrator(ePO)」のエージェント・ソフトにセキュリティ・ホールが見つかったことを明らかにした。ePOのエージェントを動かしているサーバーおよびクライアント・マシンは,任意の場所に任意のファイルを勝手に作成される恐れがある。バージョン3.5.5以降(3.5.5を含む)では修正済み。
eEye Digital Securityの情報によれば,今回のセキュリティ・ホールはMcAfeeおよびeEye Digital Securityがそれぞれ発見し,McAfeeでは公表することなくこっそり(silently)修正したという。eEye Digital Securityでは,セキュリティ・ホールを修正することは重要だが,ユーザーに正確な情報を提供することも重要であると強調している。
現時点ではMcAfeeから今回のセキュリティ・ホールに関する情報が公開されている。同情報によれば,セキュリティ・ホールを修正するためのアップデートは自動更新機能を経由して配信しており,2006年2月以降,入手できる状態になっているという。
eEye Digital Securityでは,今回のセキュリティ・ホールを悪用されると,リモートの攻撃者にマシンを乗っ取られる恐れがあるので,ePolicy Orchestratorを利用している組織では早急にアップデートすることを勧めている。
・eEye Digital Securityの情報
・米McAfeeの情報
