Angriffe
03/29/2011

Sicherheitslücken bei McAfee.com aufgedeckt

Der Webauftritt des Unternehmens McAfee bietet offenbar eine breite Fläche für Angriffe. Die „YGN Ethical Hacker Group“ veröffentlichte am Montag einen Bericht, der die Schwachstellen aufzeigt. So ist es unter anderem durch Cross-Site Scripting möglich, die Seite zu attackieren.

Insgesamt wurden durch YGN 18 Schwachstellen im Quelltext aufgedeckt. Laut der Gruppe wurde McAfee am 10. Februar informiert und antwortete zwei Tage später, dass an den Problemen gearbeitet werde. Als die Lücken mehr als sechs Wochen nach dem Hinweis immer noch vorhanden waren, entschied sich YGN für die Veröffentlichung. Zusätzlich gab die Gruppe noch Tipps ab, wie die Lücken geschlossen werden können.

Derartige Vorfälle sind für eine Sicherheitsfirma besonders heikel, da McAfee auch anderen Unternehmen anbietet, ihre öffentlichen Webauftritte abzusichern. So wirbt die Sicherheitsfirma damit, dass die zu schützenden Webseiten „täglich nach tausenden Schwachstellen“ abgesucht werden. In diesem Zusammenhang bietet das Unternehmen auch ein „McAfee Secure“-Zertifikat an.

"Wenig gewissenhaft gearbeitet"
„Um das Zertifikat zu erhalten, dürfen die geprüften Webseiten genau diese Art von Sicherheitslücken nicht aufweisen“, erklärt der brasilianische Sicherheitsexperte Pablo Ximenes bei Networkworld. „Ich will dem Image von McAfee nicht schaden, ich besitze sogar eine Firma, die McAfee-Produkte verkauft. Man muss aber festhalten, dass hier wenig gewissenhaft gearbeitet wurde. Händler und Kunden müssen darauf hingewiesen werden.“

Bereits 2008 wurden auf den Webseiten der Sicherheitsunternehmen McAfee, Symantec und Verisign Cross-Site Scripting Schwachstellen aufgedeckt. Im April 2010 wurde sogar die McAfee Community durch diese Art der Attacke verunstaltet.