Sitio de McAfee vulnerable al Cross-Site Scripting.


El sitio readwriteweb.com informa que el propio website de la popular empresa de seguridad americana McAfee, podría haber contenido por un descuidado diseño en cuanto las restricciones de seguridad, una vulnerabilidad del tipo Cross-Site Scripting.





Esta permitiría, entre otras cosas, que un usuario malicioso pudiera distribuir scareware utilizando la página web de McAfee como salto intermedio, de manera que podría efectuar el tan conocido y temido phising a los inocentes usuarios que hicieran click en un enlace especialmente construido utilizando una página web de McAfee.

Curiosamente McAfee vende un servicio denominado McAfee Secure que consiste en auditar los websites de las empresas que así lo contraten. Dicho servicio consiste en efectuar una serie de tests para comprobar que la página web del cliente en cuestión está exenta de fallos de configuración de servidor, de puertos permitidos de entrada, así como de vulnerabilidades web. Una vez que un website ha sido auditado, el cliente tiene más tranquilidad a la hora de exponer sus contenidos a Internet. En el caso de McAfee, como bien reza el título del post, "en casa de herrero, cuchillo de palo", parece ser que se les ha pasado el auditar su propia página web, que permite pues la ejecución de un bonito y peligroso XSS en su página McAfee Rebate Center.

Los sitios web de las organizaciones, sobre todo de aquellas que permiten la compra y venta a través de tarjetas de crédito, desde Junio de 2008 obligatoriamente han de ser compatibles con la normativa PCI-DSS. Dicha normativa, exige en su punto 6.6, que las aplicaciones web han de cumplir rigurosas medidas de seguridad para evitar el fraude a través de ellas. Para ello se obliga a efectuar auditorías de código revisables cada 3 meses, o la utilización de contramedidas como un cortafuegos de aplicaciones web (Web Application Firewall o WAF).

La noticia original, con una demostración del código que permite ejecutar dicha vulnerabilidad, aquí.

Enlaces:
http://www.readwriteweb.com/
http://www.mcafee.com/es/

Fuente:
Por Lorenzo Martínez
http://www.securitybydefault.com/



Otras noticias de interés:

Ocultar extensiones de ficheros con codificación Unicode
No es algo nuevo pero últimamente, el malware se está aprovechando de esta característica especial de codificación que permite engañar al usuario para que crea que un archivo ejecutable no lo es, puesto que ciertos programas lo muestran de forma...
En seguridad, la clave es la educación de los usuarios
Actualmente las compañías y usuarios desconocen los riesgos y amenazas a los que se enfrentan en Internet y que afectan sus entornos....
Facebook y twitter fueron utilizadas para fraude bursátil
Desde ambos sitios se hacían sugerencias para inflar el precio de ciertas acciones de empresas. El fraude se descubrió en medio de una investigación por tráfico de drogas....
Felicidades En tu Dia Hermano
Feliz cumpleaños hermano, que lo pases de maravilla y con todos los del team xombra aprendiendo cada dia mas las cosas sencillas y dificiles de internet suerte hermano Lord Angelus...
Zenwalk Live 6.4 final
Zenwalk Live 6.4 Release Candidate (RC) se publicó hace más de una semana como un adelanto de lo que sería la versión final, que al día de hoy se ha liberado como estable contando con el escritorio Xfce como predeterminado y basado en los script...
Adobe más seguridad en Flash Player 10.3
Adobe Flash Player 10.3, que incorpora herramientas de desarrollo además de mejoras en la privacidad del software....
Mozilla Firefox integrará en su código 'Google Safe Browsing'
En diciembre Google presentó dos extensiones para ser utilizadas con el navegador web Mozilla Firefox. Una de ellas era 'Google Safe Browsing', que alerta al usuario cuando visita una página web que pide información confidencial (datos personales ...
vulnerabilidad en Agnitum Outpost Firewall PRO
Se ha reportado una vulnerabilidad en Agnitum Outpost Firewall PRO, que lo hace propenso a un ataque de denegación de servicio (DoS). Esta falla posibilitaría que un usuario sin privilegios, pueda detener el servicio del cortafuego....
Nuevas versiones de Bugzilla
Las versiones de Bugzilla previas a la 2.14.4 o 2.16.1 contienen varias vulnerabilidades de seguridad. Bugzilla es un sistema de base de datos para comunicar bugs y asignarlos a desarrolladores, obteniendo una gran simplificación administrativa resp...
Deberíamos limpiar nuestros perfiles en Internet
El cada vez más popular uso de las redes sociales en Internet está dejando a muchos equipos abiertos a los peligros de la Red sin que sus usuarios se den cuenta. Los ladrones están al acecho del robo de identidades....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mcafee
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • sitio
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • vulnerable
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra