McAfee ma niebezpieczną stronę

Witryna WWW producenta oprogramowania antywirusowego zawiera luki w zabezpieczeniach, które mogą być wykorzystywane do ataków na komputery odwiedzających ją internautów.

Zagrożenie wykryła grupa YGN Ethical Hacker Group, która już 10 lutego poinformowała McAfee o błędach w kodzie serwisu mcafee.com. 12 lutego firma odpowiedziała, że pracuje nad usunięciem dziur, jednak do tej pory (koniec marca) nie zostały one załatane.

“Dziurawy” serwis McAfee

Luki w serwisie mogą być wykorzystane do przeprowadzania ataków typu “cross-site scripting”. Polegają one na osadzeniu w kodzie atakowanej strony skryptów, które po uruchomieniu przez przeglądarki użytkowników pozwalają na wykonywanie niepożądanych, potencjalnie niebezpiecznych akcji.

YGN odkryła ponadto, że niepowołani użytkownicy mogą uzyskać dostęp do kodu źródłowego aż 18 plików .asp umieszczonych w serwisie. Co więcej, najbardziej podatna na ataki jest sekcja strony zawierająca pliki do pobrania.

Zdaniem YGN sytuacja taka dyskredytuje McAfee, która mocno promuje swoją usługę McAfee Secure. Klienci korporacyjni mogą dzięki niej sprawdzać bezpieczeństwo swoich serwisów internetowych, które skanowane są non-stop. Pomyślne przejście testów i otrzymanie certyfikatu McAfee Secure ma gwarantować, że odwiedzający daną stronę internauci mogą czuć się bezpieczni.

McAfee Secure sprawdza witryny pod kątem bezpieczeństwa danych użytkowników, linków do niebezpiecznych stron, phishingu, itp. Tymczasem wykrycie zagrożeń na stronie samego McAfee może poważnie podważyć wiarygodność i skuteczność wspomnianej usługi.

To nie pierwszy przypadek, kiedy McAfee ma problemy z zabezpieczeniami swojego serwisu internetowego. W 2008 r. znaleziono w nim, a także na stronach Symanteca i VeriSign, luki podobne do tych wykrytych w lutym przez YGN.

Źródło: PCWorld.com