 McAfee zamkn�o luk� w serwisie Secure, kt�ry by� podatny na atak Cross-Site Request Forgery (CSRF).
McAfee Secure jest serwisem pozwalaj�cym na sprawdzenie strony internetowej pod k�tem obecno�ci luk bezpiecze�stwa, czy zgodno�ci ze standardem PCI DSS. Po pomy�lnym przej�ciu test�w, w�a�ciciel serwisu otrzymuje pozwolenie na umieszczenie na stronie loga McAfee Secure. U�ytkownik wchodz�c na tak� stron� mo�e by� pewny, �e jego dane s� w�a�ciwie chronione przed nieuprawnionym dost�pem.
Luka CSRF umo�liwia�a uzyska� dost�p do kont u�ytkownik�w w serwisie Secure, po odwiedzeniu przez ofiar� spreparowanej strony internetowej, b�d�c zalogowanym w portalu McAfee. Ponadto naprawiono luki typu Cross-Site Scripting i Code Injection.
Co ciekawe autor znalezionej luki, Mike Bailey stwierdzi�, �e McAfee sama powinna usun�� logo McAfee Secure ju� 5 tygodni temu, gdy� nie dotrzymuje w�asnych standard�w, kt�re sama ustala�o.
�r�d�o: http://www.heise-online.pl/ |
