Les sites de McAfee fourmillent de vulnérabilités

Des experts en sécurité ont averti la filiale d'Intel que son site était vulnérable au cross-site scripting. McAfee a admis les failles.

Un groupe de chercheurs en sécurité, nommé YGN Ethical Hacker Group, a publié, via Full Disclosure, des vulnérabilités type XSS affectant les sites mcafee.com et download.mcafee.com. 

Le 10 février dernier, ce groupe a averti McAfee. Plus d'un mois et demi après, le groupe de hackers ayant constaté que les failles "n'avaient pas totalement été corrigées", il a décidé de les publier. Il recommande à McAfee de faire un meilleur usage des spécialistes de la sécurité Web, arrivés avec l'acquisition de Foundstone en 2004. Il recommande également de bien vérifier que ces failles n'ont pas entraîné de fuite d'informations.

Dans un communiqué, McAfee a reconnu l'existence de ces vulnérabilités, et explique être actuellement en train de les corriger. Le fournisseur a aussi voulu rassurer en précisant qu'aucune exploitation malveillante n'a été constatée, et que les clients et partenaires de McAfee n'étaient pas en danger.

Ce n'est pas la première fois qu'un fournisseur de sécurité se fait ainsi remarquer pour son manque de rigueur. En 2008, le site dédié XSSed avait ainsi trouvé des failles type cross-site scripting sur les sites Web de Symantec et VeriSign.