 McAfee zamknęło lukę w serwisie Secure, który był podatny na atak Cross-Site Request Forgery (CSRF).
McAfee Secure jest serwisem pozwalającym na sprawdzenie strony internetowej pod kątem obecności luk bezpieczeństwa, czy zgodności ze standardem PCI DSS. Po pomyślnym przejściu testów, właściciel serwisu otrzymuje pozwolenie na umieszczenie na stronie loga McAfee Secure. Użytkownik wchodząc na taką stronę może być pewny, że jego dane są właściwie chronione przed nieuprawnionym dostępem.
Luka CSRF umożliwiała uzyskać dostęp do kont użytkowników w serwisie Secure, po odwiedzeniu przez ofiarę spreparowanej strony internetowej, będąc zalogowanym w portalu McAfee. Ponadto naprawiono luki typu Cross-Site Scripting i Code Injection.
Co ciekawe autor znalezionej luki, Mike Bailey stwierdził, że McAfee sama powinna usunąć logo McAfee Secure już 5 tygodni temu, gdyż nie dotrzymuje własnych standardów, które sama ustalało.
Źródło: http://www.heise-online.pl/ |
