安全公司McAfee網(wǎng)站被發(fā)現(xiàn)充滿漏洞

Win7之家（ afsion.com.cn）：安全公司McAfee網(wǎng)站被發(fā)現(xiàn)充滿漏洞

研究人員周一在“Full Disclosure”（全面披露）網(wǎng)站發(fā)表的文章中稱，安全公司McAfee的網(wǎng)站充滿了安全錯(cuò)誤。這些錯(cuò)誤可導(dǎo)致跨站腳本攻擊或者其他攻擊。這些安全漏洞是YGN道德黑客組織發(fā)現(xiàn)的，并且在安全/黑客郵件列表公開(kāi)披露這些安全漏洞之前，于2月10日向McAfee做了報(bào)告。

YGN在Full Disclosure網(wǎng)站發(fā)表的文章中稱，除了跨站腳本攻擊之外，YGN還發(fā)現(xiàn)了許多泄露信息的漏洞，其中包括泄露內(nèi)部主機(jī)名稱的漏洞和18個(gè)泄露源代碼的漏洞。McAfee網(wǎng)站能夠用于XC腳本攻擊的這個(gè)部分托管了McAfee用于下載軟件的文件。

這個(gè)事情不僅令人難堪，而且在某種程序上還影響了McAfee的信譽(yù)。McAfee向企業(yè)面向消費(fèi)者的網(wǎng)站銷售McAfee安全服務(wù)。McAfee網(wǎng)站稱，McAfee安全軟件每天掃描網(wǎng)站查找數(shù)千個(gè)黑客漏洞。如果這個(gè)網(wǎng)站獲得McAfee高標(biāo)準(zhǔn)安全認(rèn)證，那么，McAfee殺毒產(chǎn)品用戶在自己的瀏覽器中就會(huì)看到一個(gè)“McAfee安全”標(biāo)簽。McAfee安全軟件聲稱，可以測(cè)試網(wǎng)站的非故意托管的個(gè)人信息訪問(wèn)、危險(xiǎn)網(wǎng)站鏈接、釣魚(yú)攻擊和其他嵌入的惡意軟件危險(xiǎn)。

巴西塞阿拉州大學(xué)信息安全研究團(tuán)隊(duì)的安全研究人員Pablo Ximenes在博客中稱，“換句話說(shuō)，出現(xiàn)這個(gè)安全標(biāo)簽應(yīng)該意味著這個(gè)網(wǎng)站不會(huì)出現(xiàn)像McAfee網(wǎng)站現(xiàn)在擁有的相同的安全漏洞。不要誤會(huì)我，我沒(méi)有興趣破壞McAfee的形象。我甚至擁有一家銷售McAfee產(chǎn)品的公司。但是，這種嚴(yán)重不關(guān)心客戶和轉(zhuǎn)銷商的情況是不能忽視的�！�

據(jù)YGN稱，在2月10日向McAfee報(bào)告其網(wǎng)站存在許多安全漏洞之后，McAfee稱正在盡快解決這些問(wèn)題。截止到3月27日，YGN發(fā)現(xiàn)這些安全漏洞完全沒(méi)有修復(fù)，于是公開(kāi)披露了這些安全漏洞。YGN向McAfee提出了兩個(gè)半開(kāi)玩笑的建議以解決這些問(wèn)題：McAfee應(yīng)該利用自己在2004年收購(gòu)的Web安全服務(wù)公司Foundstone的網(wǎng)站安全專家;McAfee應(yīng)該利用出站的流量監(jiān)控以檢測(cè)潛在的信息泄露。

這并非第一次發(fā)現(xiàn)McAfee網(wǎng)站缺少安全措施。在2008年，賽門(mén)鐵克和VeriSign都發(fā)現(xiàn)McAfee網(wǎng)站存在跨站腳本攻擊安全漏洞。

此外，在2009年，Team Elite的成員白帽黑客Methodman發(fā)布了針對(duì)kc.mcafee.com和mcafeerebates.com網(wǎng)站的概念證明攻擊。在2010年4月，一次XC腳本攻擊篡改了McAfee網(wǎng)站社區(qū)論壇的網(wǎng)頁(yè)。

McAfee對(duì)《Network World》稱，它正在對(duì)Full Disclosure網(wǎng)站發(fā)布的報(bào)告展開(kāi)調(diào)查。（編譯/胡楊）