天氣預報
2011-03-31, 12:08 PM
研究人員在網路上表示,McAfee.com 網站充滿了安全漏洞,可能會遭受 cross-site scripting 與其他攻擊。YGN Ethical Hacker Group 在發現後於二月十日告知該公司,一段時間之後才公佈在網路上。
除了 cross-site scripting 的漏洞之外,YGN也發現了許多會洩漏資訊的問題,讓攻擊者可以看到內部的機器名稱與找出18個洩漏的原始碼問題,進而透過XC Script 可以攻擊McAfee的檔案或是下載軟體。
這樣的狀況不單單是難為情,更是一種恥辱,因為該公司替企業第一線伺服器提供了McAfee Secure資安服務。該服務會每天針對數以千計的駭客漏洞進行掃描。而如果客戶公司網站通過了其產品定義的高安全性掃描,並取得了「McAfee Secure」標章,McAfee Secure 將會測試包括個人資訊的存取、連結到危險網站、釣魚網站、與其他嵌入程式碼的風險等。
資安研究人員Ximenes表示,這樣的標章表示該網站不應該出現如現在McAfee網站所面臨的風險威脅,但Mcafee發生這樣的問題很難讓經銷商與消費者忽略。
在收到回報之後,McAfee在二月十二日做出回應表示,將會盡快的解決這些問題。但是直到三月二十七日,YGN依舊發現這些問題沒有被完全解決,並對外界公佈了這個消息。YGN對於McAfee提出了兩個建議,一是該公司應該妥善利用2004年併購Foundstone公司的資安專家來強化網站內部安全;另一個則是要使用外部監控方式來偵測可能的資訊洩漏。
這並不是McAfee公司第一次發生這樣的問題,在2008年,其與Symantec 及 VeriSign公司也都曾被發現 cross-site scripting (XSS)的問題。而在2009年,一位Team Elite的白帽駭客也證明了可以攻擊kc.mcafee.com與mcafeerebates.com網站;2010年的四月,McAfee.com 的社群論壇也發現遭受XC scripting的攻擊而導致受損。
目前McAfee公司表示正在進行全面的檢測。
(ZDNet Taiwan編輯部/Doger Lin譯)
http://www.zdnet.com.tw/news/web/0,2000085679,20149302,00.htm
除了 cross-site scripting 的漏洞之外,YGN也發現了許多會洩漏資訊的問題,讓攻擊者可以看到內部的機器名稱與找出18個洩漏的原始碼問題,進而透過XC Script 可以攻擊McAfee的檔案或是下載軟體。
這樣的狀況不單單是難為情,更是一種恥辱,因為該公司替企業第一線伺服器提供了McAfee Secure資安服務。該服務會每天針對數以千計的駭客漏洞進行掃描。而如果客戶公司網站通過了其產品定義的高安全性掃描,並取得了「McAfee Secure」標章,McAfee Secure 將會測試包括個人資訊的存取、連結到危險網站、釣魚網站、與其他嵌入程式碼的風險等。
資安研究人員Ximenes表示,這樣的標章表示該網站不應該出現如現在McAfee網站所面臨的風險威脅,但Mcafee發生這樣的問題很難讓經銷商與消費者忽略。
在收到回報之後,McAfee在二月十二日做出回應表示,將會盡快的解決這些問題。但是直到三月二十七日,YGN依舊發現這些問題沒有被完全解決,並對外界公佈了這個消息。YGN對於McAfee提出了兩個建議,一是該公司應該妥善利用2004年併購Foundstone公司的資安專家來強化網站內部安全;另一個則是要使用外部監控方式來偵測可能的資訊洩漏。
這並不是McAfee公司第一次發生這樣的問題,在2008年,其與Symantec 及 VeriSign公司也都曾被發現 cross-site scripting (XSS)的問題。而在2009年,一位Team Elite的白帽駭客也證明了可以攻擊kc.mcafee.com與mcafeerebates.com網站;2010年的四月,McAfee.com 的社群論壇也發現遭受XC scripting的攻擊而導致受損。
目前McAfee公司表示正在進行全面的檢測。
(ZDNet Taiwan編輯部/Doger Lin譯)
http://www.zdnet.com.tw/news/web/0,2000085679,20149302,00.htm