Löcher in McAfees Webseite

Die Web-Site des Anbieters von Sicherheitslösungen McAfee wies bis zum vergangenen Wochenende mehrere Schwachstellen auf. Der Entdecker der Lücken, der (burmesische) Sicherheitsdienstleister YEHG, hat einen Bericht dazu veröffentlicht.

Zu den Problemen gehörten eine Cross-Site-Scripting auf download.mcafee.com sowie ein Fehler, durch den sich der Sourcecode diverser ASP.NET-Seiten abrufen ließ. Ob darin vertrauliche Informationen enthalten waren, ist nicht bekannt. Mitunter finden sich aber in solchen Dateien für Angreifer wertvolle Hinweise für die weitere Vorgehensweise bei der Kompromittierung eines Servers.

Ein JavaScript auf download.mcafee.com verrät indes weiterhin Hostnamen in der Infrastruktur von McAfee, wobei Serveradressen immer noch den alten Namen Network Associates (NAI) enthalten. NAI hatte sich 2004 in McAfee (zurück-)umbenannt. Laut YEGH wurde McAfee bereits im Februar auf die Probleme hingewiesen, hatte aber nicht reagiert. Kurz nach Veröffentlichung des Bericht am Wochenende begann McAfee dann, die Probleme zu lösen. Gegenüber US-Medien gab McAfee an, dass zu keiner Zeit Daten von Kunden oder Ähnliches hätte ausgelesen werden können.

McAfee hatte bereits in der Vergangenheit mit Lücken in den eigenen Seiten zu kämpfen. Besonders peinlich war 2009 eine Schwachstelle in McAfees Sicherheitsportal Secure, das eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) aufwies. McAfee Secure ist ein Dienst, mit dem Kunden ihre eigene Site oder Shop auf Sicherheitslücken und auf die für Kreditkartentransaktionen wichtige Konformität zum PCI-DSS-Standard überprüfen können. (dab)