Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/04/2011
McAfee explica les recents vulnerabilitats en la seua pàgina web
McAfee ha remés, a la redacció Diario Ti, una declaració pública en què explica la naturalesa de les vulnerabilitats patides pel seu lloc web.
La nota oficial de McAfee diu així:
“Dilluns passat, 28 de març, unes quantes agències de notícies van donar a conéixer les vulnerabilitats dels llocs web de McAfee. Respecte d'això, l'empresa de seguretat informàtica expressa que està conscient d'aquestes vulnerabilitats i estem treballant per a solucionar-les.
És important destacar que aquestes vulnerabilitats no exposen a cap dels clients de McAfee, socis o la informació corporativa i que, d'altra banda, no hem vist cap activitat maliciosa.
Aquestes vulnerabilitats del lloc Web han estat revelades públicament en Full Disclosure, una llista de correu de seguretat d'alt tràfic.Tot seguit aclarim les tres vulnerabilitats:
- Cross Site Scripting en download.Mcafee.com: en el pitjor dels escenaris, aquesta vulnerabilitat podria permetre atacs de suplantació de la marca McAfee, mitjançant la presentació d'una adreça URL, que sembla dirigida a un lloc Web de McAfee, però que en realitat et dirigeix a un altre lloc.
- La divulgació d'informació en www.mcafee.com: aquest problema dóna alguns detalls d'aplicacions d'ús intern per a mesurar el tràfic Web, però no revela cap informació confidencial o qualsevol informació dels clients.
- La divulgació d'informació sobre download.Mcafee.com: aquest problema brinda accés al codi font d'algunes de les pàgines interactives del nostre lloc Web, però tampoc no açò revela informació confidencial o qualsevol informació dels clients. (Aquest problema es va solucionar al voltant de les 8 pm, hora del Pacífic, del dilluns 28 de març.)
Finalment, McAfee expressa que l'explotació d'una vulnerabilitat XSS requereix, normalment, la creació d'una URL maliciosa per a explotar els elements d'inseguretat del lloc web original i l'ús d'enginyeria social, pesca informàtica (phishing) o un vincle persistent per a comprometre usuaris desprevinguts. Al contrari, la injecció de SQL o vulnerabilitats de desbordament de memòria intermèdia (buffer) són molt més perjudicials, ja que un atacant no ha de dependre d'enginyeria social per a causar dany".
Llegiu la nota completa en DiarioTI