El sitio web de McAfee.com está llena de errores de seguridad que podría llevar a cross-site scripting y otros ataques, dijeron los investigadores en un post en el sitio de Full Disclosure el lunes. Los agujeros en el sitio fueron encontrados por el grupo de hackers éticos YGN, e informó a McAfee el 10 de febrero, YGN dice, antes de que se dieron a conocer públicamente la lista de correo de seguridad / hacking.

MÁS HACKS: Microsoft advierte del intento de hackear en Windows Live, Google, Yahoo, Skype, Mozilla

Además de cross-site scripting, YGN descubierto numerosos agujeros de la divulgación de información con el sitio como ver a un nombre de host interno y la búsqueda de 18 declaraciones de código fuente. La porción del sitio que podrían ser utilizados para XC scripting ataque alberga algunos de los archivos de McAfee para la descarga de software, YGN dice en su mensaje Full Disclosure.

Esto no es sólo embarazoso, pero también un poco descrédito de McAfee, que comercializa un servicio de McAfee Secure a las empresas para sus sitios web orientados al cliente. McAfee Secure escanea una página web al día durante “miles de vulnerabilidades de hackers,” la empresa se anuncia. Si el sitio se encuentra a “la certificación” de McAfee “alto nivel de seguridad”, entonces los usuarios de McAfee productos anti-malware ver a un “McAfee Secure” etiqueta en sus navegadores. McAfee Secure afirma que la prueba de acceso a la información personal, vínculos a sitios peligrosos, phishing, y otros inherentes peligros que un sitio web malicioso sin saberlo, puede ser acogida.

“En otras palabras, la presencia de esta etiqueta significa que el sitio no es vulnerable a las mismas vulnerabilidades exacta [McAfee.com] tiene actualmente”, escribe el investigador de seguridad Pablo Jiménez, del Equipo de Investigación de Seguridad de la Información de la Universidad de Puerto Rico en Mayagüez, en su blog. “No me malinterpreten, no tengo ningún interés en dañar la imagen de McAfee, que incluso la propia empresa que vende productos de McAfee, pero esto es una grave falta de diligencia con los clientes y revendedores que no debe pasar desapercibido”, escribe.

De acuerdo con YGN, después de reportar las fallas en el sitio web de McAfee para el vendedor el 10 de febrero, McAfee respondió al informe el 12 de febrero, diciendo: “Estamos trabajando para resolver el problema lo más rápido posible.” Cuando, a partir del 27 de marzo de YGN encuentran las fallas “para ser fijadas por completo”, YGN públicamente divulgados. YGN ofreció dos la lengua en la mejilla recomendaciones a McAfee para resolver los problemas: que la empresa debe hacer un mejor uso de sus propios expertos internos de seguridad del sitio web de Foundstone, una web de servicios de la empresa de seguridad McAfee adquirió en 2004, y que la empresa debe “utilizar control de salida de tráfico para detectar fugas de información potencial “.

Esta no es la primera vez que el sitio web de McAfee se comprobó la falta de seguridad. En 2008, los sitios Web de McAfee, Symantec y VeriSign se encontraron todos los que han de cross-site scripting (XSS) errores, de acuerdo con vigilante de seguridad en el momento XSSed.

Además, en 2009, hacker de sombrero blanco Methodman, un miembro del Team Elite, publicó una prueba de concepto de los ataques contra los sitios web kc.mcafee.com y mcafeerebates.com. En abril de 2010, los foros de la comunidad McAfee.com fueron desfiguradas por medio de un ataque de secuencias de comandos XC.

McAfee dijo a la Red Mundial que se está investigando la revelación completa el informe de vulnerabilidad.

Bort escribe la actualización de Microsoft, Buscador de origen y las probabilidades de Cisco y los fines blogs de subred de la red mundial de Microsoft, la máscara de código abierto y las comunidades Cisco subred. Siga Bort en Twitter @ Julie188.

Lea más sobre red de área amplia en toda la red mundial en la sección de red de área.