DoSECU 安全报道 5月7日消息:安全专家称,迈克菲网站上的安全漏洞,例如用来扫描用户网站缺陷而设计的安全工具出现的漏洞会暴露特定用户的账号,木马程序会假冒迈克菲软件发动钓鱼攻击。
迈克菲公司在本周二晚些时候表示多数漏洞已经被修正,只有部分脱机网站暂时还未被修正。
据ReadWriteWeb的文章介绍,迈克菲网站被发现存在交叉脚本攻击的危险漏洞和可能导致对用户发动钓鱼攻击的交叉请求假冒攻击风险,用户会以为他们访问的是安全厂商的网站。
报告称,具有讽刺意义的是,其中一个容易受到攻击的网站是McAfee Secure,这个网站的用途是扫描用户的网站来判断他们是否存在被攻击的系统漏洞。这个问题的出现向大家传递了一个信号就是:迈克菲并没有在他们所有的网站平台上运行McAfee Secure,或者说McAfee Secure的工作情况并不良好。
根据Risky.biz网站的说法,目标用户必须登录迈克菲帐户或则浏览存在漏洞的恶意网站,才会在这个网站上沦为交叉请求假冒攻击的受害者。
Secure Science Corporation的合作创始人兰斯.詹姆士在接受采访时表示,这种针对反病毒厂商网站的攻击是非常危险的,因为他们会让攻击者有机会创建安全产品的冒牌版本,安装特洛伊或者诱导用户信任的其他木马病毒。
安全研究专家迈克.贝利本周一在他的博客中写道:McAfee Secure网站上的漏洞表明迈克菲公司不符合授权扫描机构规定的PCI安全标准,在创建应用软件时没有使用安全的软件研发生命周期,忽略了对网站的深度渗透测试。
迈克菲公司发言人Joris Evers表示脱机网站是迈克菲的knowledge center,这是公司使用第三方提供商软件来向用户提供支持的网站的组成部分。就是这个网站存在交叉脚本漏洞。
Evers在电子邮件中表示"这些类型的漏洞几乎不会被远程利用,所以不是太过严重"。漏洞中并没有暴露任何迈克菲的企业信息,公司也没有看到任何对漏洞的恶意利用行为。
Evers还表示"迈克菲对自己的网站和第三方提供的服务设置了严格的安全协议。我们正在调查这些特殊漏洞是如何逃过我们筛选过程的侦测的,如果必要我们会对流程做出相应的调整"。
迈克菲公司并非唯一一家网站上存在安全问题的安全厂商。上个月The Register报道了在赛门铁克网站上发现的交叉脚本漏洞。今年2月,一家罗马尼亚的黑客网站宣称他们利用交叉脚本和SQL注入式攻击入侵了F-Secure,卡巴斯基和BitDefender的网站。