Falhas graves de segurança foram descobertas no site da McAfee, empresa de software antivírus e soluções de segurança, que também atua no ramo de certificação de segurança de sites. As vulnerabilidades a ataques de cross-site scripting (XSS) e de falsificação de solicitação de frame (XFS) permitiam que terceiros roubassem senhas e dados dos usuários.

Uma das falhas permitia que criminosos obtivessem informações do site da McAfee, incluindo listas de todas as vulnerabilidades dos sites dos clientes da empresa. Um dos ataques permitia o uso de um selo legítimo do serviço “McAfee Secure”, que ganhou esse nome após a aquisição da desenvolvedora, a ScanAlert, que o chamava de “Hacker Safe”.

Outra vulnerabilidade permitia que criminosos distribuíssem seus códigos maliciosos disfarçados de softwares seguros, certificados pelo teste da McAfee. A reportagem detalhando os problemas foi publicada pelo site ReadWriteWeb. Desde então, a McAfee corrigiu os problemas.

O americano Mike Bailey, pesquisador da área de segurança da informação, expôs outra falha no SiteAdvisor, também da McAfee, em seu blog. Mas, para ele, esse não é um problema isolado, ou específico da McAfee. “Pessoal, vamos tirar o foco da McAfee e colocá-lo onde ele deve estar. A indústria de exame de PCI[1. PCI-DSS é o padrão de segurança exigido para o processamento de pagamento de cartões de crédito. Muitas empresas fazem auditoria para verificar se uma empresa está ou não adequada às exigências do PCI.] inteira é uma piada e, de modo geral, essas empresas de segurança web são elas mesmas péssimas em segurança”, escreveu Bailey.

O mesmo pesquisador já havia alertado para outros problemas da McAfee antes. A empresa diz ter corrigido o problema e tirado do ar temporariamente os serviços ainda afetados. Outras empresas de segurança como a Symantec (Norton Antivirus), F-Secure e Kaspersky já apresentaram falhas semelhantes.

Altieres Rohr colaborou para essa reportagem

Anúncios

Escrito por lbrito1

1 comentário

  1. Maria Amélia 07/05/2009 às 18:59

    Como já vimos no artigo anterior, o bom mesmo e mais seguro, é controlar a curiosodade e deletar imediatamente e-mails desconhecidos.
    Isso é suficiente para não ser contaminado. (tomara!)

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.