Sitio de McAfee vulnerable al Cross-Site Scripting.


El sitio readwriteweb.com informa que el propio website de la popular empresa de seguridad americana McAfee, podría haber contenido por un descuidado diseño en cuanto las restricciones de seguridad, una vulnerabilidad del tipo Cross-Site Scripting.





Esta permitiría, entre otras cosas, que un usuario malicioso pudiera distribuir scareware utilizando la página web de McAfee como salto intermedio, de manera que podría efectuar el tan conocido y temido phising a los inocentes usuarios que hicieran click en un enlace especialmente construido utilizando una página web de McAfee.

Curiosamente McAfee vende un servicio denominado McAfee Secure que consiste en auditar los websites de las empresas que así lo contraten. Dicho servicio consiste en efectuar una serie de tests para comprobar que la página web del cliente en cuestión está exenta de fallos de configuración de servidor, de puertos permitidos de entrada, así como de vulnerabilidades web. Una vez que un website ha sido auditado, el cliente tiene más tranquilidad a la hora de exponer sus contenidos a Internet. En el caso de McAfee, como bien reza el título del post, "en casa de herrero, cuchillo de palo", parece ser que se les ha pasado el auditar su propia página web, que permite pues la ejecución de un bonito y peligroso XSS en su página McAfee Rebate Center.

Los sitios web de las organizaciones, sobre todo de aquellas que permiten la compra y venta a través de tarjetas de crédito, desde Junio de 2008 obligatoriamente han de ser compatibles con la normativa PCI-DSS. Dicha normativa, exige en su punto 6.6, que las aplicaciones web han de cumplir rigurosas medidas de seguridad para evitar el fraude a través de ellas. Para ello se obliga a efectuar auditorías de código revisables cada 3 meses, o la utilización de contramedidas como un cortafuegos de aplicaciones web (Web Application Firewall o WAF).

La noticia original, con una demostración del código que permite ejecutar dicha vulnerabilidad, aquí.

Enlaces:
http://www.readwriteweb.com/
http://www.mcafee.com/es/

Fuente:
Por Lorenzo Martínez
http://www.securitybydefault.com/



Otras noticias de interés:

La seguridad no importa a los usuarios
Un curioso experimento demuestra la pesadilla de todo administrador de red. La seguridad no es, ni mucho menos, prioritaria para los empleados. No importa cuántas advertencias se le indiquen, es probable que un importante porcentaje d...
Los certificados SSL, en entredicho
La Electronic Frontier Foundation ha mostrado que los certificados SSL, utilizados en el protocolo HTTPS para conexiones web seguras, están siendo utilizados sin verificación. Esta empresa ha publicado una investigación que muestra que el sistema ...
Dinamarca y Noruega se suman contra el OOXML
Estos países han votado NO a la propuesta de aceptar el formato de Microsoft Open Office XML como estándar ISO, aunque en todos los casos se ofrece la posibilidad de que ese voto cambie en el futuro si se resuelven los problemas técnicos y prácti...
Mozilla lanza Firefox 3.5 mejorando la navegación
La nueva versión incorpora importantes mejoras de rendimiento, nuevas características de privacidad, compatibilidad con los nuevos estándares Web y muchas más opciones de personalización...
Más de un millón trescientos mil venezolanos están conectados a Internet
En la industria de las telecomunicaciones en Venezuela se han verificado comportamientos particulares, destacando la recuperación del mercado de telefonía fija, que venía cayendo desde 1998; la expansión de los sistemas de conexión a internet, q...
El 90% de empresas han perdido información por un ciberataque
Las fugas causadas por las actividades de los empleados reducen su importancia en relación al gran número de ataques externos, según un estudio de Symantec....
Sality se suma a la vulnerabilidad LNK
Luego de las repercusiones sobre Stuxnet, explotando la vulnerabilidad CVE-2010-2568, a la cual se sumaron dos familias más (Win32/TrojanDownloader.Chymine.A y Win32/Autorun.VB.RP) y la incorporación del exploits a un crimeware (Zombie Explotation ...
Publicada nueva versión de Apache
Se ha publicado la versión 2.2.16 del servidor web Apache, con objeto de corregir dos vulnerabilidades de denegación de servicio en los módulos mod_cache y mod_dav y otra de divulgación de información sensible en mod_proxy_http....
Detección de intrusiones basada en eventos de seguridad de Windows
Microsoft publica un documento de cara a facilitar la implantación de soluciones de monitorización y detección de intrusos basándose en los logs de eventos de seguridad de su plataforma Windows....
Versión final de Firefox 6 disponible
Los desarrolladores de Mozilla han puesto a disposición de los usuarios la nueva versión prácticamente definitiva del navegador algunos días antes del lanzamiento oficial. Desde hace algunas horas es posible descargar esta nueva entrega para Wind...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mcafee
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • sitio
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • vulnerable
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra