Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/04/2011
McAfee explica las recientes vulnerabilidades en su página web
McAfee ha remitido a la redacción de Diario Ti una declaración pública en que explica la naturaleza de las vulnerabilidades sufridas por su sitio web.
La nota oficial de McAfee dice así:
"El pasado lunes 28 de marzo varias agencias de noticias dieron a conocer las vulnerabilidades de los sitios web de McAfee. Al respecto, la empresa de seguridad informática expresa que está consciente de estas vulnerabilidades y estamos trabajando para solucionarlos.
Es importante destacar que estas vulnerabilidades no exponen a ninguno de los clientes de McAfee, socios o la información corporativa y por lo demás no hemos visto ninguna actividad maliciosa.
Estas vulnerabilidades del sitio Web han sido reveladas públicamente en Full Disclosure, una lista de correo de seguridad de alto tráfico. A continuación aclaramos las tres vulnerabilidades:
- Cross Site Scripting en download.mcafee.com: En el peor de los escenarios, esta vulnerabilidad podría permitir ataques de suplantación de la marca McAfee mediante la presentación de una dirección URL que parece ser dirigida a un sitio Web de McAfee, pero en realidad dirige a otro lugar.
- La divulgación de información en www.mcafee.com: Este problema da algunos detalles de aplicaciones de uso interno para medir el tráfico Web, pero no revela ninguna información confidencial o cualquier información de los clientes.
- La divulgación de información sobre download.mcafee.com: Este problema brinda acceso al código fuente de algunas de las páginas interactivas de nuestro sitio Web, pero tampoco esto revela información confidencial o cualquier información de los clientes. (Este problema se solucionó alrededor de las 8 pm hora del Pacífico del lunes 28 de marzo.)
Finalmente, McAfee expresa que la explotación de una vulnerabilidad XSS normalmente requiere la creación de una URL maliciosa para explotar los elementos de inseguridad del sitio web original y el uso de ingeniería social, phishing o un vínculo persistente para comprometer a usuarios desprevenidos. Por el contrario, la inyección de SQL o vulnerabilidades de desbordamiento de buffer son mucho más perjudiciales, ya que un atacante no tiene que depender de ingeniería social para causar daño".
Leer la nota completa en DiarioTI