McAfee网站曝漏洞 可被钓鱼攻击利用

互联网 | 编辑: 杨剑锋 2009-05-07 10:45:00转载

北京时间5月7日消息,据国外媒体报道,安全研究专家Mike Bailey日前发现,知名安全软件商McAfee的网站竟有安全漏洞,其中包括一项专门扫瞄顾客网站瑕疵的软件。专家表示,这些漏洞可导致顾客账号数据曝光,被钓鱼攻击利用。恶意软件也能伪装成McAfee软件借此传播。

McAfee在5日晚间表示,大部分的弱点都已修补好,只有一部份需要脱机进行。根据媒体报导,McAfee的网站被发现有受到跨站指令(XSS)攻击,和跨站假要求攻击的弱点,顾客可能以为他们登入了该公司的网站,实际上却是钓鱼攻击。

讽刺的是,其中一个有风险的网站是McAfee Secure,这是用来扫瞄顾客的网站,检查他们是否容易受到上述类型的攻击。报导指出,这个问题显示,McAfee若非没有在自家的所有网站执行McAfee Secure检查,就是该产品的效用不佳。

Risky.biz网站指出,使用者必须登入他们的McAfee账号,然后前往利用该弱点的恶意网站,才可能受到跨站假要求攻击。Secure Science Corporation共同创办人Lance James表示,这类利用防病毒软件商网站的攻击特别危险,因为它们能让攻击者制作内含木马程序或其他恶意软件的假安全产品,顾客则毫不怀疑地接受。

Mike Bailey表示,McAfee Secure网站的漏洞显示该公司没有遵守对合格扫瞄商(Approved Scanning Vendors)的PCI要求;在构建该应用软件时,没有使用一个安全的软件开发生命周期,也疏忽对该网站进行深度的渗透测试。

McAfee发言人Joris Evers表示,暂时下线的网站是McAfee knowledge center(知识中心),那属于顾客支持部分,且使用第三方供货商的软件。该站有一个跨站指令弱点。他在邮件回复中表示,这些型式的弱点很少被大规模利用,因此不被视为严重问题。他强调,这些弱点都没有造成McAfee任何公司资料外泄,该公司也没有发现任何恶意的利用。

McAfee不是唯一一家官网存有安全问题的安全公司。就在上个月,The Register爆料赛门铁克的网站有一个跨站指令弱点。今年2月,一个罗马尼亚黑客网站宣称,已经成功利用跨站指令和SQL隐码攻击,破坏了F-Secure、Kaspersky和BitDefender三家公司的网站。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑