El website de McAfee está lleno de brechas de seguridad, según algunos investigadores
El website de McAfee está repleto de brechas de seguridad que podrían abrir la entrada a ataques de scripting de sitios cruzados (cross-site) y a otras amenazas, según una entrada publicada en el sitio web Full Disclosure.
Las brechas de seguridad fueron en el website fueron reportadas a McAfee por el grupo de hacking ético YGN Ethical Hacker Group el pasado 10 de febrero, según YGN, antes de que se revelaran públicamente en su lista de mailing.
Además de los fallos cross-site scripting, YGN asegura que descubrió numerosos agujeros en el website de McAfee, incluidos la revelación de un nombre de host interno y de 18 códigos fuente. La parte del sitio que podría ser explotada mediante scripting de sitios cruzados alberga además algunos de los ficheros de McAfee para la descarga de software.
Lo más llamativo de este descubrimiento es que tales brechas hayan sido detectadas precisamente en el website de McAfee, cuya oferta incluye McAfee Secure, un servicio que ofrece a las empresas protección para sus sitios web abiertos a los clientes. Este servicio escanea diariamente el website del cliente en busca de “miles de vulnerabilidades abiertas al hacking”, según el fabricante de seguridad.
Si el sitio es lo suficientemente seguro para quedar certificado como conforme “al alto estándar de seguridad” de McAfee, en palabras de la compañía, se muestra la etiqueta “McAfee Secure” en los navegadores de los usuarios de los productos antimalware del fabricante.
Según la compañía, McAfee Secure pone a prueba el acceso a información personal, la existencia de enlaces a websites peligrosos, las amenazas de phishing y otros peligros embebidos que el cliente podría estar hospedando en sus páginas sin saberlo.
Además de los fallos cross-site scripting, YGN asegura que descubrió numerosos agujeros en el website de McAfee, incluidos la revelación de un nombre de host interno y de 18 códigos fuente. La parte del sitio que podría ser explotada mediante scripting de sitios cruzados alberga además algunos de los ficheros de McAfee para la descarga de software.Lo más llamativo de este descubrimiento es que tales brechas hayan sido detectadas precisamente en el website de McAfee, cuya oferta incluye McAfee Secure, un servicio que ofrece a las empresas protección para sus sitios web abiertos a los clientes. Este servicio escanea diariamente el website del cliente en busca de “miles de vulnerabilidades abiertas al hacking”, según el fabricante de seguridad.
Si el sitio es lo suficientemente seguro para quedar certificado como conforme “al alto estándar de seguridad” de McAfee, en palabras de la compañía, se muestra la etiqueta “McAfee Secure” en los navegadores de los usuarios de los productos antimalware del fabricante.
Según la compañía, McAfee Secure pone a prueba el acceso a información personal, la existencia de enlaces a websites peligrosos, las amenazas de phishing y otros peligros embebidos que el cliente podría estar hospedando en sus páginas sin saberlo.
