Website McAfee lek als een mandje

McAfee.com blijkt kwetsbaar voor enkele basale webaanvalsmethoden, waaronder cross-site scripting (xss). De securityleverancier, onlangs overgenomen door chipmaker Intel, biedt zelf juist consultingdiensten om websites door te nemen op dergelijke zwakke plekken. Vervolgens kan McAfee doorgenomen sites van klanten aanpassen om ze te beschermen tegen aanvallen.

10 februari gemeld

De lekken in McAfee's eigen hoofdsite zijn ontdekt door leden van de YGN Ethical Hacker Group. Die hebben de gaten op 10 februari gemeld bij het bedrijf, en verder stil gehouden. Twee dagen later antwoordde McAfee dat het "eraan werkte om de kwestie zo snel mogelijk op te lossen".

De hackers hebben afgelopen zondag ontdekt dat de gaten nog altijd aanwezig zijn. Zij hebben toen besloten de zaak openbaar te maken, via de Full Disclosure-mailinglist en op de eigen site.

Downloads toegankelijk?

Naast xss-aanvallen blijkt McAfee.com kwetsbaar voor informatielekkage én toegang voor buitenstaanders tot sommige scripts op de site. Laatstgenoemde omvat volgens de hackers ook delen van de site waar gebruikers software van de securityleverancier kunnen downloaden.

Een succesvolle inbraak daar biedt in theorie de mogelijkheid om antimalware zelf te voorzien van malware, die zich dan meteen al schuil kan houden voor de securitysoftware. Dit gevaar is nog niet direct aan de orde, het gaat nu om alleen toegang tot de broncode van diverse serverscripts op McAfee.com.

'Gebruik je eigen experts'

Volgens security-onderzoeker Pablo Ximenes, van de universiteit van Puerto Rico, is dat al erg genoeg. De YGN-hackers hebben in hun onthulling van de lekken McAfee geadviseerd om gebruik te maken van zijn eigen experts voor websitebeveiliging. McAfee heeft aan Webwerelds Amerikaanse zustersite NetworkWorld laten weten dat het de onthulling van de beveiligingsgaten onderzoekt.