McAfee explica recientes vulnerabilidades de su página web
McAfee ha remitido a la redacción de Diario TI una declaración pública en que explica la naturaleza de las vulnerabilidades sufridas por su sitio y comentadas en éste artículo. Por su interés, reproducimos íntegramente la nota.
El pasado lunes 28 de marzo varias agencias de noticias dieron a conocer las vulnerabilidades de los sitios web de McAfee. Al respecto, la empresa de seguridad informática expresa que está consciente de estas vulnerabilidades y estamos trabajando para solucionarlos.
Es importante destacar que estas vulnerabilidades no exponen a ninguno de los clientes de McAfee, socios o la información corporativa y por lo demás no hemos visto ninguna actividad maliciosa.
De paso, McAfee declara que conocía de las vulnerabilidades desde y por causas que se investigan, el proceso de solución ha tardado más de lo que les hubiera gustado. Se modificarán los procesos si es necesario para prevenir que esto vuelva a ocurrir.
Cada vez que una vulnerabilidad se informa, la organización se esfuerza en direccionarla tan pronto como sea posible. Lamentablemente el proceso ha tardado más de lo que hubiera gustado en este caso, por lo que se está investigando la causa de la demora y se modificarán nuestros procesos si es necesario para prevenir que esto vuelva a ocurrir.
Estas vulnerabilidades del sitio Web han sido reveladas públicamente en Full Disclosure, una lista de correo de seguridad de alto tráfico. A continuación aclaramos las tres vulnerabilidades:
- Cross Site Scripting en download.mcafee.com: En el peor de los escenarios, esta vulnerabilidad podría permitir ataques de suplantación de la marca McAfee mediante la presentación de una dirección URL que parece ser dirigida a un sitio Web de McAfee, pero en realidad dirige a otro lugar.
- La divulgación de información en www.mcafee.com: Este problema da algunos detalles de aplicaciones de uso interno para medir el tráfico Web, pero no revela ninguna información confidencial o cualquier información de los clientes.
- La divulgación de información sobre download.mcafee.com: Este problema brinda acceso al código fuente de algunas de las páginas interactivas de nuestro sitio Web, pero tampoco esto revela información confidencial o cualquier información de los clientes. (Este problema se solucionó alrededor de las 8 pm hora del Pacífico del lunes 28 de marzo.)
La presencia de una vulnerabilidad XSS no es causa para no certificar McAfee Secure a un sitio Web, porque estas vulnerabilidades no se consideran una amenaza lo suficientemente grave como para tomar esa acción. McAfee evalúa continuamente el panorama de las amenazas y puede ajustar esta posición, según proceda.
Finalmente, McAfee expresa que la explotación de una vulnerabilidad XSS normalmente requiere la creación de una URL maliciosa para explotar los elementos de inseguridad del sitio web original y el uso de ingeniería social, phishing o un vínculo persistente para comprometer a usuarios desprevenidos. Por el contrario, la inyección de SQL o vulnerabilidades de desbordamiento de buffer son mucho más perjudiciales, ya que un atacante no tiene que depender de ingeniería social para causar daño".
Fuente: Diario TI
El pasado lunes 28 de marzo varias agencias de noticias dieron a conocer las vulnerabilidades de los sitios web de McAfee. Al respecto, la empresa de seguridad informática expresa que está consciente de estas vulnerabilidades y estamos trabajando para solucionarlos.
Es importante destacar que estas vulnerabilidades no exponen a ninguno de los clientes de McAfee, socios o la información corporativa y por lo demás no hemos visto ninguna actividad maliciosa.
De paso, McAfee declara que conocía de las vulnerabilidades desde y por causas que se investigan, el proceso de solución ha tardado más de lo que les hubiera gustado. Se modificarán los procesos si es necesario para prevenir que esto vuelva a ocurrir.
Cada vez que una vulnerabilidad se informa, la organización se esfuerza en direccionarla tan pronto como sea posible. Lamentablemente el proceso ha tardado más de lo que hubiera gustado en este caso, por lo que se está investigando la causa de la demora y se modificarán nuestros procesos si es necesario para prevenir que esto vuelva a ocurrir.
Estas vulnerabilidades del sitio Web han sido reveladas públicamente en Full Disclosure, una lista de correo de seguridad de alto tráfico. A continuación aclaramos las tres vulnerabilidades:
- Cross Site Scripting en download.mcafee.com: En el peor de los escenarios, esta vulnerabilidad podría permitir ataques de suplantación de la marca McAfee mediante la presentación de una dirección URL que parece ser dirigida a un sitio Web de McAfee, pero en realidad dirige a otro lugar.
- La divulgación de información en www.mcafee.com: Este problema da algunos detalles de aplicaciones de uso interno para medir el tráfico Web, pero no revela ninguna información confidencial o cualquier información de los clientes.
- La divulgación de información sobre download.mcafee.com: Este problema brinda acceso al código fuente de algunas de las páginas interactivas de nuestro sitio Web, pero tampoco esto revela información confidencial o cualquier información de los clientes. (Este problema se solucionó alrededor de las 8 pm hora del Pacífico del lunes 28 de marzo.)
La presencia de una vulnerabilidad XSS no es causa para no certificar McAfee Secure a un sitio Web, porque estas vulnerabilidades no se consideran una amenaza lo suficientemente grave como para tomar esa acción. McAfee evalúa continuamente el panorama de las amenazas y puede ajustar esta posición, según proceda.
Finalmente, McAfee expresa que la explotación de una vulnerabilidad XSS normalmente requiere la creación de una URL maliciosa para explotar los elementos de inseguridad del sitio web original y el uso de ingeniería social, phishing o un vínculo persistente para comprometer a usuarios desprevenidos. Por el contrario, la inyección de SQL o vulnerabilidades de desbordamiento de buffer son mucho más perjudiciales, ya que un atacante no tiene que depender de ingeniería social para causar daño".
Fuente: Diario TI
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!