30 Mar 2011


Разделы: Новости Интернет it

Сайт McAfee.com полна безопасности ошибки, которые могут привести к межсайтовый скриптинг и других атак, сказали исследователи в сообщение на сайте Полное раскрытие в понедельник. Дырок с сайта были найдены YGN Ethical Hacker группы, и сообщил McAfee 10 февраля, YGN говорит, прежде чем они были публично раскрыты безопасность / Хакинг список рассылки.

В дополнение к межузловых сценариев, YGN обнаружены многочисленные раскрытия информации отверстия с сайта, включая видя внутреннего хоста и поиск 18 раскрытия исходного кода. Часть сайта, которые могут быть использованы для межсайтовый скриптинг атаки хосты некоторые из файлов McAfee для загрузки программного обеспечения, YGN говорит о его полный пост раскрытия.



Больше хаки: Microsoft предупреждает о попытке взломать на Windows Live, Google, Yahoo, Skype, Mozilla

Это не только неудобно, но и несколько дискредитации для McAfee, какие рынки службы McAfee Безопасные предприятиям для их клиентов перед веб-сайтов. McAfee Безопасные сканирует веб-сайт в день в течение "тысячи хакеров уязвимости", компания рекламирует. Если сайт находится на "быть сертифицированы" на McAfee's "высоких стандартов безопасности", то пользователи McAfee защиты от вредоносного ПО см. "McAfee Secure" ярлык в своих браузерах. McAfee обеспечения требований для проверки личного доступа к информации, ссылки на опасные сайты, фишинга и других вредоносных встроенных опасности, что сайт может быть неосознанно хостинга.

"Иными словами, наличие этого этикетке означает, что сайт не подвержены точно такой же уязвимости [McAfee.com] В настоящее время", пишет исследователь безопасности Пабло Хименес, от информационной безопасности Исследовательская группа Университета Пуэрто-Рико на Mayaguez, в своем блоге. "Не поймите меня неправильно, у меня нет интереса к повреждению изображения McAfee, я даже собственную компанию, которая продает продукты McAfee, но это серьезный недостаток трудолюбия с клиентами и реселлерами, которые не должны остаться незамеченными", пишет он.

По YGN, после отчетной недостатки на сайте McAfee подателю 10 февраля, McAfee ответил на доклад 12 февраля, говоря: "Мы работаем, чтобы решить этот вопрос как можно быстрее." Когда, по состоянию на 27 марта YGN найдены недостатки ", чтобы быть полностью незаписанных," YGN публично раскрыта их. YGN предлагается два языка-в-щеку рекомендации McAfee для решения вопросов: что компания должна более эффективно использовать свой внутренний сайт специалистов по безопасности из Foundstone, веб-службы безопасности компании McAfee приобрела в 2004 году, и что компания должна "использовать исходящий мониторинг трафика для обнаружения потенциальной утечки информации. "

Это не первый случай, когда веб-сайт McAfee был найден, отсутствует безопасность. В 2008 году, веб-сайты от McAfee, Symantec и VeriSign были установлено, что кросс-сайте ошибки сценариев, в соответствии с Watchdog безопасности во время XSSed.

Кроме того, в 2009 году, белый цилиндр хакер Methodman, член Team Elite, опубликованное доказательство концептуальных нападения на сайты kc.mcafee.com и mcafeerebates.com. В апреле 2010 года, форумах McAfee.com сообщества были испорчены с помощью сценариев атаки XC.

McAfee Network World сказал, что оно ведет расследование Полное раскрытие уязвимостей доклада.

Борт пишет Microsoft Update, Источник Искатель и Cisco коэффициенты и заканчивается в блоги для Microsoft подсети мира, Open Source подсети и Cisco подсети общин. Следуйте Bort на Twitter@Julie188.Read больше о глобальной сети в широких слоев Network World's Area Network.