Una de las empresas de seguridad informática más destacadas del mundo presenta una serie de vulnerabilidades en su propio sitio web, que pueden ser empleadas para phishing, hurto de identidad y propagación de virus y programas espía.
McAfee es una de las compañías más prestigiosas de seguridad informática. Sin embargo, al parecer no está en condiciones de asegurar su propio sitio en Internet. Durante el fin de semana se reveló que varias de sus páginas presentan una vulnerabilidad de tipo Cross-Site-Scripting, que hace posible a intrusos usar el sitio de McAfee para propagar malware o redirigir a los visitantes.
Lance James, autor del libro Phishing Exposed, comentó a la publicación ReadWriteWeb.com que el agujero XSS de McAfee es un "el dorado" para ciberdelincuentes.
"El agujero es un paraíso para ciberdelincuentes, que pueden vender su Scareware en nombre de McAfee. Es una victoria de ´branding´ para los delincuentes y, por cierto, un bochorno para McAfee".
Lance James publicó una demostración de la vulnerabilidad en ésta página. Haga clic en "add to cart" y verá lo que ocurre. En algunos casos es necesario recargar la página.
Como si lo anterior no fuera suficiente, el agujero deja de manifiesto que McAfee no usa su propio software de seguridad, o que éste no está en condiciones de detectar coger las elementales de seguridad. McAfee vende McAfee Secure, herramienta que analiza los sitios web de sus clientes en búsqueda de vulnerabilidades. Esto lleva a concluir que McAfee ya sea no usa su propio servicio, o éste no detecta las vulnerabilidades.
En un ribete irónico del tema, el periódico The New York Times publicó el artículo de ReadWriteWeb.com en su sitio. El artículo original describía las líneas de código necesarias para explotar la vulnerabilidad. Sin embargo, el sistema de publicación de The New York Times interpretó tales líneas como instrucciones o comandos, ante los que su propio sitio era vulnerable.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario