Sicherheitslücken auf der Website von McAfee

Auf der Website der Sicherheitsexperten aus dem Hause McAfee, die inzwischen vollständig von Intel übernommen wurden, befinden sich drei offene Sicherheitslücken. Diese wurden von einer Gruppe namens YGN Ethical Hacker entdeckt, die jetzt Details auf der Mailingliste Full Disclosure veröffentlicht haben. Zuvor hatte man McAfee über die Schwachstellen informiert. Nachdem der Hinweis am 10. Februar bei McAfee einging und am 12. Februar von den Sicherheitsexperten schnelle Besserung versprochen wurde, tat sich sechs Wochen lang nichts. Aus diesem Grund beschloss man bei YGN Ethical Hacker, die Details zu den Problemen öffentlich zu machen, um den Druck zu erhöhen.

McAfee reagierte nun auf die Berichte und stellt erneut eine Lösung für die Probleme in Aussicht. Man weist explizit darauf hin, dass keine Daten von Kunden, Partnern oder über das Geschäft allgemein ausgelesen werden können. Zudem sind noch keine Fälle bekannt, in denen die insgesamt drei Schwachstellen ausgenutzt wurden.

Eine Cross-Site-Scripting-Lücke findet man auf download.mcafee.com. Angreifer könnten die Besucher auf eine manipulierte Website umleiten, die sich als McAfee-Seite ausgibt. Der Sicherheitsdienstleister kündigte an, genau untersuchen zu wollen, warum man die Schwachstellen im Rahmen eigener Kontrollen nicht entdeckt hat. Ggf. will man die internen Verfahren anpassen.