McAfee网站曝安全漏洞 用户帐号资料或曝光被利用

CNET科技资讯网5月7日国际报道 安全软件厂商McAfee的网站竟有安全漏洞，其中包括一项专门扫瞄用户网站瑕疵的软件。专家表示，这些漏洞可导致用户帐号资料曝光，被钓鱼攻击利用。恶意软件也能伪装成McAfee软件，借此散布。

McAfee在当地时间5日晚间表示，大部分的弱点都已修补好，只有一部份需要离线进行。据ReadWriteWeb报道，McAfee的网站被发现有受到跨站指令（XSS）攻击，和跨站假要求攻击的弱点，用户可能以为他们登入了该公司的网站，实际上却是钓鱼攻击。

讽刺的是，其中一个有风险的网站是McAfee Secure，这是用来扫瞄用户的网站，检查他们是否容易受到上述类型的攻击。报道指出，这个问题显示，McAfee若非没有在自家的所有网站执行McAfee Secure检查，就是该产品的效用不佳。

Risky.biz网站指出，使用者必须登入他们的McAfee帐号，然后前往利用该弱点的恶意网站，才可能受到跨站假要求攻击。Secure Science Corporation共同创始人Lance James对ReadWriteWeb表示，这类利用杀毒软件厂商网站的攻击特别危险，因为它们能让攻击者制作内含木马程序或其他恶意软件的假安全产品，用户则毫不怀疑地接受。

安全研究员Mike Bailey在Skeptikal.org博客写道，McAfee Secure网站的漏洞显示该公司没有遵守对合格扫瞄商（Approved Scanning Vendors）的PCI要求；在构建该应用软件时，没有使用一个安全的软件开发生命周期，也疏忽对该网站进行深度的渗透测试。

McAfee发言人Joris Evers表示，暂时下线的网站是McAfee knowledge center（知识中心），那属于用户支持部分，且使用第三方供应商的软件。该站有一个跨站指令弱点。

他以电邮回复：这些型式的弱点很少被大规模利用，因此不被视为严重问题。他强调，这些弱点都没有造成McAfee任何公司资料外泄，该公司也没有发现任何恶意的利用。

Evers说：McAfee对本身的网站和第三方提供的服务，都设有严格的政策。我们正在调查这些特定弱点为何没有被我们的检查程序抓出，若有必要将调整我们的程序。

McAfee不是唯一一家官网存有安全问题的安全公司。就在上个月，The Register爆料赛门铁克的网站有一个跨站指令弱点。今年2月，一个罗马尼亚黑客网站宣称，已经成功利用跨站指令和SQL隐码攻击，破坏了F-Secure、Kaspersky和BitDefender三家公司的网站。

　　安全研究人员Mike Bailey发布这个屏幕抓图，显示他通过跨站假要求漏洞进入McAfee Secure