原文連結：http://www.zdnet.com.tw/news/software/0,2000085678,20138042,00.htm 資安研究員Mike Bailey釋出這個螢幕抓圖，顯示他透過跨站假要求漏洞進入McAfee Secure。 知名安全軟體商McAfee的網站竟有安全漏洞，其中包括一項專門掃瞄顧客網站瑕疵的軟體 。專家表示，這些漏洞可導致顧客帳號資料曝光，被釣魚攻擊利用。惡意軟體也能偽裝成 McAfee軟體，藉此散佈。 McAfee在5日晚間表示，大部分的弱點都已修補好，只有一部份需要離線進行。根據 ReadWriteWeb的報導，McAfee的網站被發現有受到跨站指令（XSS）攻擊，和跨站假要 求攻擊的弱點，顧客可能以為他們登入了該公司的網站，實際上卻是釣魚攻擊。 諷刺的是，其中一個有風險的網站是McAfee Secure，這是用來掃瞄顧客的網站，檢查他 們是否容易受到上述類型的攻擊。報導指出，這個問題顯示，McAfee若非沒有在自家的所 有網站執行McAfee Secure檢查，就是該產品的效用不佳。 Risky.biz網站指出，使用者必須登入他們的McAfee帳號，然後前往利用該弱點的惡意網 站，才可能受到跨站假要求攻擊。Secure Science Corporation共同創辦人Lance James 對ReadWriteWeb表示，這類利用防毒軟體商網站的攻擊特別危險，因為它們能讓攻擊者製 作內含木馬程式或其他惡意軟體的假安全產品，顧客則毫不懷疑地接受。 安全研究員Mike Bailey在Skeptikal.org部落格寫道，McAfee Secure網站的漏洞顯示該 公司沒有遵守對合格掃瞄商（Approved Scanning Vendors）的PCI要求；在構建該應用軟 體時，沒有使用一個安全的軟體開發生命週期，也疏忽對該網站進行深度的滲透測試。 McAfee發言人Joris Evers表示，暫時下線的網站是McAfee knowledge center（知識中心 ），那屬於顧客支援部分，且使用第三方供應商的軟體。該站有一個跨站指令弱點。 他以電郵回覆：「這些型式的弱點很少被大規模利用，因此不被視為嚴重問題。」他強調 ，這些弱點都沒有造成McAfee任何公司資料外洩，該公司也沒有發現任何惡意的利用。 Evers說：「McAfee對本身的網站和第三方提供的服務，都設有嚴格的政策。我們正在調 查這些特定弱點為何沒有被我們的檢查程序抓出，若有必要將調整我們的程序。」 McAfee不是唯一一家官網存有安全問題的安全公司。就在上個月，The Register爆料賽門 鐵克的網站有一個跨站指令弱點。今年2月，一個羅馬尼亞駭客網站宣稱，已經成功利用 跨站指令和SQL隱碼攻擊，破壞了F-Secure、Kaspersky和BitDefender三家公司的網站。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.173.195.232