29.03.2011, 11:53 Uhr
McAfee-Webseite voller Löcher
Der Webauftritt des IT-Security-Spezialisten McAfee strotzt angeblich vor Sicherheitslücken.
Die Webseite von McAfee ist angeblich löchrig wie Emmentaler
Dies berichtet die YGN Ethical Hacker Group auf der IT-Security-Plattform «Full Disclosure». Die Löcher könnten unter anderem zu sogenannten Cross-Scripting- Angriffen missbraucht werden, warnt YGN.
Man habe McAfee bereits am 10. Februar über den desolaten Zustand der Seite informiert, heisst es. Kurz darauf habe McAfee bekundet, die Fehler zu analysieren und zu beheben. Als bis zum 27. März nichts passiert sei, habe man sich bei YGN dazu entschlossen, die Lücken zu publizieren.
Die Cross-Scripting-Löcher befinden sich in einem Teil des Webauftritts, in dem McAfee Files für den Software-Download bereithält. Daneben fanden die YGN-Virenjäger zahlreiche Informationslecks. So konnten sie einen internen Hostnamen auslesen, und in 18 Fällen war Quelltext der Firma zugänglich.
Der Bericht von YGN ist nicht nur peinlich für McAfee. Er diskreditiert den IT-Security-Software-Hersteller auch ein wenig, bietet das Unternehmen doch mit McAfee Secure eine Dienstleistung an, mit der Firmen ihre Webseiten absichern lassen können. Dabei werden die Webauftritte der Kunden getestet, und, wenn für sicher befunden, mit einem Label versehen.
«Die Präsenz dieses Labels garantiert dafür, dass genau jene Lücken auf einer Webseite nicht vorhanden sind, die jetzt bei McAfees eigenem Webauftritt gefunden wurden», mokiert sich der Sicherheitsforscher Pablo Ximenes vom Information Security Research Team der University of Puerto Rico. Er wolle McAfee nicht schlecht machen, fährt er in seinem Blog fort, schliesslich sei er auch an einer Firma beteiligt, die McAfee-Produkte verkaufe und einsetze. «Aber dies ist ein Zeichen für mangelnde Sorgfalt gegenüber Kunden und Wiederverkäufern, auf die hingewiesen werden muss», meint Ximenes weiter.
Gegenüber unserer US-Schwesterpublikation «Network World» hat McAfee verlauten lassen, man sei daran, den Bericht auf «Full Disclosure» zu untersuchen.
Man habe McAfee bereits am 10. Februar über den desolaten Zustand der Seite informiert, heisst es. Kurz darauf habe McAfee bekundet, die Fehler zu analysieren und zu beheben. Als bis zum 27. März nichts passiert sei, habe man sich bei YGN dazu entschlossen, die Lücken zu publizieren.
Die Cross-Scripting-Löcher befinden sich in einem Teil des Webauftritts, in dem McAfee Files für den Software-Download bereithält. Daneben fanden die YGN-Virenjäger zahlreiche Informationslecks. So konnten sie einen internen Hostnamen auslesen, und in 18 Fällen war Quelltext der Firma zugänglich.
Der Bericht von YGN ist nicht nur peinlich für McAfee. Er diskreditiert den IT-Security-Software-Hersteller auch ein wenig, bietet das Unternehmen doch mit McAfee Secure eine Dienstleistung an, mit der Firmen ihre Webseiten absichern lassen können. Dabei werden die Webauftritte der Kunden getestet, und, wenn für sicher befunden, mit einem Label versehen.
«Die Präsenz dieses Labels garantiert dafür, dass genau jene Lücken auf einer Webseite nicht vorhanden sind, die jetzt bei McAfees eigenem Webauftritt gefunden wurden», mokiert sich der Sicherheitsforscher Pablo Ximenes vom Information Security Research Team der University of Puerto Rico. Er wolle McAfee nicht schlecht machen, fährt er in seinem Blog fort, schliesslich sei er auch an einer Firma beteiligt, die McAfee-Produkte verkaufe und einsetze. «Aber dies ist ein Zeichen für mangelnde Sorgfalt gegenüber Kunden und Wiederverkäufern, auf die hingewiesen werden muss», meint Ximenes weiter.
Gegenüber unserer US-Schwesterpublikation «Network World» hat McAfee verlauten lassen, man sei daran, den Bericht auf «Full Disclosure» zu untersuchen.
