Sicherheitsforscher finden Schwachstellen in McAfees Website

Eine Gruppe namens YGN Ethical Hacker hat auf der Mailingliste Full Disclosure Details zu drei Schwachstellen in der McAfee-Website veröffentlicht. Der Sicherheitsanbieter ist nach Angaben der Gruppe schon seit 10. Februar über die Probleme informiert.

Dem Eintrag zufolge hatte McAfee am 12. Februar angekündigt, die Fehler so schnell wie möglich zu beheben. Da dies sechs Wochen später noch nicht geschehen sei, habe man die Lücken öffentlich gemacht, so die Forscher.

McAfee hat die Anfälligkeiten inzwischen bestätigt und erneut einen Fix in Aussicht gestellt. „Es ist wichtig, darauf hinzuweisen, dass diese Schwachstellen keine Informationen über Kunden, Partner oder Geschäftsdaten preisgeben“, heißt es in einer Stellungnahme des Unternehmens. Außerdem würden die Fehler bisher noch nicht missbraucht.

Unter anderem besteht eine Cross-Site-Scripting-Lücke unter „download.mcafee.com“, die es McAfee zufolge Angreifern erlauben könnte, Nutzer auf eine manipulierte Website umzuleiten, die sich als McAfee-Seite ausgibt. Zudem sei es möglich, Daten über eine intern genutzte Anwendung, die den Internet-Traffic misst, sowie den Quellcode einiger interaktiver Seiten der McAfee-Website auszuspähen.

„McAfee hat strenge Regeln für seine Websites und für von Dritten angebotene Dienste“, schreibt der Sicherheitsanbieter. „Wir untersuchen, warum diese speziellen Schwachstellen bei unseren eigenen Kontrollen nicht entdeckt wurden, und werden die Verfahren anpassen, falls notwendig.“

McAfee hat nicht das erste Mal Probleme mit Anfälligkeiten in seiner Website. Bei Vorfällen in den Jahren 2008, 2009 und 2010 waren auch Kunden beziehungsweise Besucher der Website von den Fehlern betroffen.