McAfee网站曝安全漏洞 用户帐号资料或曝光被利用

  • 时间:
  • 浏览:4





作者: CNET科技资讯网

CNETNews.com.cn

309-05-07 09:34:43

关键词: McAfee 安全漏洞 恶意网站 钓鱼攻击 恶意软件

CNET科技资讯网5月7日国际报道 安全软件厂商McAfee的网站竟有安全漏洞,其中包括一项专门扫瞄用户网站瑕疵的软件。专家表示,哪些地方地方漏洞可原因用户帐号资料曝光,被钓鱼攻击利用。恶意软件能够伪装成McAfee软件,借此散布。

McAfee在当地时间5日晚间表示,大次责的弱点都已修补好,能够能够 一部份须要离线进行。据ReadWriteWeb报道,McAfee的网站被发现有受到跨站指令(XSS)攻击,和跨站假要求攻击的弱点,用户肯能以为大伙登入了该公司的网站,实际上却是钓鱼攻击。

讽刺的是,其中一另一个多有风险的网站是McAfee Secure,这是用来扫瞄用户的网站,检查大伙是否容易受到上述类型的攻击。报道指出,你这人 问题报告 显示,McAfee若非没有在自家的所有网站执行McAfee Secure检查,为什么在么在让该产品的效用不佳。

Risky.biz网站指出,使用者须要登入大伙的McAfee帐号,为什么在么在让 前往利用该弱点的恶意网站,才肯能受到跨站假要求攻击。Secure Science Corporation一并创始人Lance James对ReadWriteWeb表示,类似利用杀毒软件厂商网站的攻击有点儿危险,肯能它们能让攻击者制作内含木马进程或许多恶意软件的假安全产品,用户则毫不怀疑地接受。

安全研究员Mike Bailey在Skeptikal.org博客写道,McAfee Secure网站的漏洞显示该公司没有遵守对合格扫瞄商(Approved Scanning Vendors)的PCI要求;在构建该应用软件时,没有使用一另一个多安全的软件开指在命周期,也疏忽对该网站进行深度1的渗透测试。

McAfee发言人Joris Evers表示,暂时下线的网站是McAfee knowledge center(知识中心),那属于用户支持次责,且使用第三方供应商的软件。该站一另一个多跨站指令弱点。

他以电邮回复:哪些地方地方型式的弱点很少被大规模利用,为什么在么在让 不被视为严重问题报告 。他强调,哪些地方地方弱点都没有造成McAfee任何公司资料外泄,该公司也没有发现任何恶意的利用。

Evers说:McAfee对有一种 的网站和第三方提供的服务,都设有严格的政策。大伙儿正在调查哪些地方地方特定弱点为什么在么在没有被大伙儿的检查进程抓出,若有必要将调整大伙儿的进程。

McAfee都不 唯一一家官网存有安全问题报告 的安全公司。就在上个月,The Register爆料赛门铁克的网站一另一个多跨站指令弱点。今年2月,一另一个多罗马尼亚黑客网站宣称,肯能成功利用跨站指令和SQL隐码攻击,破坏了F-Secure、Kaspersky和BitDefender三家公司的网站。

  安全研究人员Mike Bailey发布你这人 屏幕抓图,显示他通过跨站假要求漏洞进入McAfee Secure