На сайте McAfee нашлось, по меньшей мере, три отвратительных бага, которые
делали клиентов этой компании уязвимыми к фишингу и другим видам атак. Один из
багов не пропатчен до сих пор, спустя более суток после того, как о нем стало
впервые известно.
По злой иронии судьбы, самая серьезная уязвимость затронула сервис
сертификации McAfee
Secure, удостоверяющий безопасность сайтов, занимающихся интернет-торговлей
и производящих другие важные транзакции. Обнаружил баг Майк Бейли, который
сообщил на блоге Skeptikal.org, что сайт поддается межсайтовой подделке запросов
(CSRF), позволяющей получить контроль над аккаунтами пользователей.
Эту дыру уже прикрыли, однако на протяжении пяти недель она оставалась
непропатченной, и все это время на сайте гордо висел значок McAfee Security, что
ставит под сомнение его общую ценность. Ведь, в конце концов, кому как не McAfee
быть на переднем фронте борьбы с такими атаками?
Сообщение Бейли совпало по времени с появлением другой информации,
раскрывающей еще одну уязвимость в том разделе сайта McAfee, который посвящен
клиентским скидкам. Лэнс Джеймс, автор Phishing Exposed, создал работающий
пример ссылки, которую можно было использовать для создания правдоподобно
выглядящих страниц, адрес которых содержит доменное имя McAfee и соответствующий
SSL-сертификат. Такие поддельные страницы обычно предназначены для кражи
различной персональной информации.
Эта дыра была публично раскрыта еще в понедельник, однако она продолжает
зиять до сих пор. Добавим лишь, что в конце прошлой неделе независимая группа
экспертов Team Elite также
отчиталась об обнаружении на портале McAfee целого ряда багов.
