Falhas no Web Site da McAfee

Até semana passada, o site da empresa de segurança McAfee continha várias vulnerabilidades de segurança que são detalhadas através de um boletim liberado pelo laboratório de segurança birmanesa, YEHG, responsável pela descoberta das falhas.

Os problemas encontrados teriam incluído uma vulnerabilidade cross-site scripting (XSS) que cada vez mais vem ganhando uma projeção absurda, em download.mcafee.com, além de uma falha que permitia que o código fonte de várias páginas ASP.NET pudesse ser recuperado. Se estas páginas contiveram informações sigilosas, isso permanece desconhecido. Ocasionalmente, entretanto, tais arquivos podem conter informações valiosas para os atacantes que estão empenhados no processo de comprometer um servidor.

Aparentemente, um arquivo JavaScript em download.mcafee.com também divulgou os host names em infra-estrutura da McAfee, e o servidor de endereços supostamente continha ainda o antigo nome do fornecedor, a Network Associates (NAI). Em 2004, o nome do fabricante foi mudado de volta ao NAI McAfee. YEGH disse que a McAfee já havia sido informado sobre essas questões em fevereiro deste ano, mas não conseguiu respondê-las.

Logo após o alerta ter sido lançado na semana passada, a McAfee começou a resolver os problemas. Falando à mídia dos EUA, a cpmpanhia disse que as vulnerabilidades não expuseram nenhum dos clientes, parceiros da McAfee ou informação corporativa em momento algum.

McAfee já teve de corrigir vulnerabilidades em suas páginas antes. Em 2009, uma falha considerada gravíssima particularmente afetou o portal de segurança McAfee Secure, que era vulnerável ao Cross-site Request Forgeries (CSRF). McAfee Secure é um serviço que permite aos clientes verificar o seu próprio site ou loja online para falhas de segurança, e de conformidade com o padrão PCI DSS, que é importante para transações realizadas com cartão de crédito.


Saiba Mais:

[1] YEHG Vulnerabilities in McAfee.com: http://yehg.net/lab/pr0js/advisories...D_xss_infoleak