研究人員周一在“Full Disclosure”(全面披露)網(wǎng)站發(fā)表的文章中稱,安全公司McAfee的網(wǎng)站充滿了安全錯誤,。這些錯誤可導(dǎo)致跨站腳本攻擊或者其他攻擊,。這些安全漏洞是YGN道德黑客組織發(fā)現(xiàn)的,,并且在安全/黑客郵件列表公開披露這些安全漏洞之前,于2月10日向McAfee做了報告,。
YGN在Full Disclosure網(wǎng)站發(fā)表的文章中稱,,除了跨站腳本攻擊之外,,YGN還發(fā)現(xiàn)了許多泄露信息的漏洞,其中包括泄露內(nèi)部主機名稱的漏洞和18個泄露源代碼的漏洞,。McAfee網(wǎng)站能夠用于XC腳本攻擊的這個部分托管了McAfee用于下載軟件的文件,。
這個事情不僅令人難堪,而且在某種程序上還影響了McAfee的信譽,。McAfee向企業(yè)面向消費者的網(wǎng)站銷售McAfee安全服務(wù),。McAfee網(wǎng)站稱,McAfee安全軟件每天掃描網(wǎng)站查找數(shù)千個黑客漏洞,。如果這個網(wǎng)站獲得McAfee高標(biāo)準(zhǔn)安全認證,,那么,McAfee殺毒產(chǎn)品用戶在自己的瀏覽器中就會看到一個“McAfee安全”標(biāo)簽,。McAfee安全軟件聲稱,,可以測試網(wǎng)站的非故意托管的個人信息訪問、危險網(wǎng)站鏈接,、釣魚攻擊和其他嵌入的惡意軟件危險,。
巴西塞阿拉州大學(xué)信息安全研究團隊的安全研究人員Pablo Ximenes在博客中稱,“換句話說,,出現(xiàn)這個安全標(biāo)簽應(yīng)該意味著這個網(wǎng)站不會出現(xiàn)像McAfee網(wǎng)站現(xiàn)在擁有的相同的安全漏洞,。不要誤會我,我沒有興趣破壞McAfee的形象,。我甚至擁有一家銷售McAfee產(chǎn)品的公司,。但是,這種嚴(yán)重不關(guān)心客戶和轉(zhuǎn)銷商的情況是不能忽視的,。”
據(jù)YGN稱,,在2月10日向McAfee報告其網(wǎng)站存在許多安全漏洞之后,McAfee稱正在盡快解決這些問題,。截止到3月27日,,YGN發(fā)現(xiàn)這些安全漏洞完全沒有修復(fù),于是公開披露了這些安全漏洞,。YGN向McAfee提出了兩個半開玩笑的建議以解決這些問題:McAfee應(yīng)該利用自己在2004年收購的Web安全服務(wù)公司Foundstone的網(wǎng)站安全專家;McAfee應(yīng)該利用出站的流量監(jiān)控以檢測潛在的信息泄露,。
這并非第一次發(fā)現(xiàn)McAfee網(wǎng)站缺少安全措施。在2008年,,賽門鐵克和VeriSign都發(fā)現(xiàn)McAfee網(wǎng)站存在跨站腳本攻擊安全漏洞,。
此外,在2009年,,Team Elite的成員白帽黑客Methodman發(fā)布了針對kc.mcafee.com和mcafeerebates.com網(wǎng)站的概念證明攻擊,。在2010年4月,一次XC腳本攻擊篡改了McAfee網(wǎng)站社區(qū)論壇的網(wǎng)頁,。
McAfee對《Network World》稱,,它正在對Full Disclosure網(wǎng)站發(fā)布的報告展開調(diào)查,。
本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。