McAfeejeva spletna stran polna lukenj?
N/A
30. mar 2011 ob 23:13:58
Ponudnik protivirusnih in drugih varnostnih programov McAfee (nedavno ga je pohopsal Intel) naj bi imel kar nekaj osnovnih varnostnih lukenj na svoji strani, poroča varnostna skupina YEHG iz Burme. Podjetje so nanje opozorili v začetku februarja, nakar se v dobrem mesecu dni razen "autoreply" maila ni prav veliko zgodilo. Posledično so par dni nazaj podrobnosti tudi objavili.
Na spletni strani download.mcafee.com je prisotna XSS (cross site scripting) ranljivost, ki omogoča poganjanje poljubne javascript kode. Za lunknjo je kriva 2 leti stara različica spletnega pregledovalnika pomoči (Microsfot .chm format) od podjetja Trisoft (zdaj SDL), ki sicer ponuja CMS rešitve.
Dalje, v eni od javascript datotek so na voljo precej podrobni podatki o imenih internih strežnikov, kar je lahko precej uporabno v primeru vdora v enega od njih.
Končno je bilo mogoče videti izvirno kodo določenih .asp strani, po vsej verjetnosti zaradi napačno nastavljenega spletnega strežnika, ki je kodo serviral kar kot običajne tekstovne dokumente.
McAfee se je po javni objavi napak zganil in uredil vsaj poslednjo točko (.asp dateteke niso več dosegljive); prvi dve pa še ostajata. Poudarili so še, da uporabniški računi niso bili kompromitirani. Fantje iz YEHG so sicer specialisti za XSS in XSRF napade na poularne odprtokodne CMS-je (Drupal, Codeignighter, PHPMyAdmin, ipd.), McAfeeju pa so (nekoliko ironično) priporočili, naj tudi svojo spletno stran požene skozi svoja orodja.
Slabi dve leti nazaj je McAfee že imel težave zaradi napada na njihov sistem preverjanja spletnih trgovcev.