Website của McAfee “dính” đầy lỗ hổng bảo mật

Hôm 28/3/2011 các nhà nghiên cứu cho biết, website McAfee.com chứa “đầy lỗi bảo mật” có thể dẫn đến tấn công “kịch bản liên trang” (XSS) và các cuộc tấn công khác.

Các nhà nghiên cứu thuộc nhóm YGN Ethical Hacker đã tìm thấy nhiều lỗ hổng của website này. YGN cho biết, họ thông báo cho McAfee hôm 10/2/2011, trước khi chúng được công bố công khai trên mailing-list bảo mật Full Dislosure. Ngoài XSS, YGN còn phát hiện một số lỗ hổng khác như lỗi giúp nhìn thấy tên máy nội bộ, 18 lỗi mã nguồn. Bài đăng của YGN trên Full Disclosure cho biết, phần website có thể bị sử dụng cho tấn công kịch bản XC có chứa một số tập tin của McAfee để tải phần mềm về.

Điều này không chỉ gây lúng túng mà phần nào còn làm mất uy tín của McAfee. Công ty đưa ra thị trường dịch vụ McAfee Secure cho các khách hàng doanh nghiệp để bảo vệ website của họ. McAfee Secure quét website hàng ngày để phát hiện lỗ hổng có thể bị tin tặc tấn công.

Theo YGN, sau khi thông báo các lỗ hổng trên website của McAfee cho nhà sản xuất này hôm 10/2/2011, thì đến hôm 12/2/2011 McAfee trả lời báo cáo: "Chúng tôi đang làm việc để giải quyết vấn đề càng nhanh càng tốt". Tuy nhiên đến ngày 27/3/2011, YGN thấy các lỗ hổng "vẫn chưa được khắc phục hoàn toàn" nên YGN đã quyết định công bố chúng.

Đây không phải là lần đầu tiên người ta thấy lỗi bảo mật trên website của McAfee. Hồi năm 2008, tất cả các website của McAfee, Symantec và VeriSign đều “dính” lỗi XSS. Hồi năm 2009, hacker mũ trắng Methodman (một thành viên của Team Elite) đã công bố mã tấn công chống lại các website kc.mcafee.com và mcafeerebates.com. Vào tháng 4/2010, các diễn đàn cộng đồng McAfee.com đã bị tấn công kịch bản XC.