Sitio de McAfee vulnerable al Cross-Site Scripting.


El sitio readwriteweb.com informa que el propio website de la popular empresa de seguridad americana McAfee, podría haber contenido por un descuidado diseño en cuanto las restricciones de seguridad, una vulnerabilidad del tipo Cross-Site Scripting.





Esta permitiría, entre otras cosas, que un usuario malicioso pudiera distribuir scareware utilizando la página web de McAfee como salto intermedio, de manera que podría efectuar el tan conocido y temido phising a los inocentes usuarios que hicieran click en un enlace especialmente construido utilizando una página web de McAfee.

Curiosamente McAfee vende un servicio denominado McAfee Secure que consiste en auditar los websites de las empresas que así lo contraten. Dicho servicio consiste en efectuar una serie de tests para comprobar que la página web del cliente en cuestión está exenta de fallos de configuración de servidor, de puertos permitidos de entrada, así como de vulnerabilidades web. Una vez que un website ha sido auditado, el cliente tiene más tranquilidad a la hora de exponer sus contenidos a Internet. En el caso de McAfee, como bien reza el título del post, "en casa de herrero, cuchillo de palo", parece ser que se les ha pasado el auditar su propia página web, que permite pues la ejecución de un bonito y peligroso XSS en su página McAfee Rebate Center.

Los sitios web de las organizaciones, sobre todo de aquellas que permiten la compra y venta a través de tarjetas de crédito, desde Junio de 2008 obligatoriamente han de ser compatibles con la normativa PCI-DSS. Dicha normativa, exige en su punto 6.6, que las aplicaciones web han de cumplir rigurosas medidas de seguridad para evitar el fraude a través de ellas. Para ello se obliga a efectuar auditorías de código revisables cada 3 meses, o la utilización de contramedidas como un cortafuegos de aplicaciones web (Web Application Firewall o WAF).

La noticia original, con una demostración del código que permite ejecutar dicha vulnerabilidad, aquí.

Enlaces:
http://www.readwriteweb.com/
http://www.mcafee.com/es/

Fuente:
Por Lorenzo Martínez
http://www.securitybydefault.com/



Otras noticias de interés:

Adobe Flash Player 9 Beta para Linux: ya disponible
Por fin, tras varios meses de espera, y saltando de la versón 7 del player de Flash directamente a la 9, ya está disponible una versión beta de esta última para el sistema operativo Linux. Adiós a las páginas que indicaban: ...
Cinco boletines de seguridad de Microsoft en abril
Este martes Microsoft ha publicado cinco boletines de seguridad (MS07-018 al MS07-022) dentro de su ciclo habitual de actualizaciones. Esta ha sido la segunda actualización del mes, después de que el día 3 de abril se publicara el parche de ...
Cisco Systems adquiere la empresa de "software" SignalWorks
El grupo estadounidense Cisco Systems, especialista en redes e infraestructuras de Internet, ha suscrito un acuerdo definitivo para la adquisición de la compañía de software avanzado SignalWorks, por un montante de 13,5 millones de dólares (12,...
Desbordamiento de búfer remoto en Sun RPC
Se ha descubierto un desbordamiento de búfer en la primitiva de filtro xdr_array. Esta función forma parte de la librería Sun RPC, y se emplea en múltiples servicios RPC. Cualquier software que haga uso de la función xdr_array puede ser vulnerab...
Slapper, un gusano para los servidores Apache
Un gusano denominado Slapper se está propagando a toda velocidad a través de Internet. Para su difusión está aprovechando una vulnerabilidad de los servidores Apache Linux....
Microsoft cubrirá ocho vulnerabilidades en Windows y Office la próxima semana
Microsoft ha anunciado que emitirá dos actualizaciones de seguridad el próximo martes para cubrir ocho vulnerabilidades en sus productos Windows y Office. Ambas actualizaciones han sido clasificadas como importantes dentro del ranking de valoració...
CEO de INQ considera que Android es para geeks
Frank Meehan, CEO de la marca británica INQ, asegura que la plataforma de Google no resulta interesante si no eres un friki de la informática....
WinFS, crónica de una muerte anunciada
Recientemente conocimos que Microsoft abandonará el proyecto WinFS tal y como fue concebido en un principio. Después de haber generado un gran entusiasmo por parte de los desarrolladores, después de haber captado un gran interés en la comunidad T...
¿Por qué Opera no es Open Source?
Directo y tajante en esta entrevista, el CTO (algo así como director técnico o ingeniero jefe) de OperaSoftware Hakon Wium Lie afirma que: "Apoyamos el software open source teniendo un mejor navegador para Linux". Y aña...
Publicado exploit de última (y grave) vulnerabilidad en Windows
El peor de los escenarios se presenta ahora para Microsoft, puesto que se han hecho públicos todos los detalles para aprovechar el fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando una peligrosa vulnerabilidad para la que toda...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mcafee
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • sitio
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • vulnerable
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra