研究：McAfee 網站滿佈安全漏洞

[天氣預報]

研究人員在網路上表示，McAfee.com 網站充滿了安全漏洞，可能會遭受 cross-site scripting 與其他攻擊。YGN Ethical Hacker Group 在發現後於二月十日告知該公司，一段時間之後才公佈在網路上。

除了 cross-site scripting 的漏洞之外，YGN也發現了許多會洩漏資訊的問題，讓攻擊者可以看到內部的機器名稱與找出18個洩漏的原始碼問題，進而透過XC Script 可以攻擊McAfee的檔案或是下載軟體。

這樣的狀況不單單是難為情，更是一種恥辱，因為該公司替企業第一線伺服器提供了McAfee Secure資安服務。該服務會每天針對數以千計的駭客漏洞進行掃描。而如果客戶公司網站通過了其產品定義的高安全性掃描，並取得了「McAfee Secure」標章，McAfee Secure 將會測試包括個人資訊的存取、連結到危險網站、釣魚網站、與其他嵌入程式碼的風險等。

資安研究人員Ximenes表示，這樣的標章表示該網站不應該出現如現在McAfee網站所面臨的風險威脅，但Mcafee發生這樣的問題很難讓經銷商與消費者忽略。

在收到回報之後，McAfee在二月十二日做出回應表示，將會盡快的解決這些問題。但是直到三月二十七日，YGN依舊發現這些問題沒有被完全解決，並對外界公佈了這個消息。YGN對於McAfee提出了兩個建議，一是該公司應該妥善利用2004年併購Foundstone公司的資安專家來強化網站內部安全；另一個則是要使用外部監控方式來偵測可能的資訊洩漏。

這並不是McAfee公司第一次發生這樣的問題，在2008年，其與Symantec 及 VeriSign公司也都曾被發現 cross-site scripting （XSS）的問題。而在2009年，一位Team Elite的白帽駭客也證明了可以攻擊kc.mcafee.com與mcafeerebates.com網站；2010年的四月，McAfee.com 的社群論壇也發現遭受XC scripting的攻擊而導致受損。

目前McAfee公司表示正在進行全面的檢測。





(ZDNet Taiwan編輯部/Doger Lin譯)
http://www.zdnet.com.tw/news/web/0,2...0149302,00.htm