Hôm 28/3/2011 các nhà nghiên cứu cho biết, website McAfee.com chứa “đầy lỗi bảo mật” có thể dẫn đến tấn công “kịch bản liên trang” (XSS) và các cuộc tấn công khác.
Các nhà nghiên cứu thuộc nhóm YGN Ethical Hacker đã tìm thấy nhiều lỗ hổng của website này. YGN cho biết, họ thông báo cho McAfee hôm 10/2/2011, trước khi chúng được công bố công khai trên mailing-list bảo mật Full Dislosure. Ngoài XSS, YGN còn phát hiện một số lỗ hổng khác như lỗi giúp nhìn thấy tên máy nội bộ, 18 lỗi mã nguồn. Bài đăng của YGN trên Full Disclosure cho biết, phần website có thể bị sử dụng cho tấn công kịch bản XC có chứa một số tập tin của McAfee để tải phần mềm về.
Điều này không chỉ gây lúng túng mà phần nào còn làm mất uy tín của McAfee. Công ty đưa ra thị trường dịch vụ McAfee Secure cho các khách hàng doanh nghiệp để bảo vệ website của họ. McAfee Secure quét website hàng ngày để phát hiện lỗ hổng có thể bị tin tặc tấn công.
Theo YGN, sau khi thông báo các lỗ hổng trên website của McAfee cho nhà sản xuất này hôm 10/2/2011, thì đến hôm 12/2/2011 McAfee trả lời báo cáo: "Chúng tôi đang làm việc để giải quyết vấn đề càng nhanh càng tốt". Tuy nhiên đến ngày 27/3/2011, YGN thấy các lỗ hổng "vẫn chưa được khắc phục hoàn toàn" nên YGN đã quyết định công bố chúng.
Đây không phải là lần đầu tiên người ta thấy lỗi bảo mật trên website của McAfee. Hồi năm 2008, tất cả các website của McAfee, Symantec và VeriSign đều “dính” lỗi XSS. Hồi năm 2009, hacker mũ trắng Methodman (một thành viên của Team Elite) đã công bố mã tấn công chống lại các website kc.mcafee.com và mcafeerebates.com. Vào tháng 4/2010, các diễn đàn cộng đồng McAfee.com đã bị tấn công kịch bản XC.
Theo PCWorld VN
Bình luận
Dịch thuật
Mình góp chút ý kiến là trc khi đăng tin, đề nghị ng` post bài nên tham khảo qua nguyên bản trc để theo đó mà so sánh với bản dịch từ website khác xem coi có chính xác ko về mặt logic lẫn dịch thuật.
Cá biệt ở đây cho thấy " tấn công kịch bản " <<< Nghe ko hay, thiết nghỉ nên để nguyên từ chuyên ngành thì hơn hoặc cứ gọi tắt là XSS ( Cross - Site Scripting ).
Thân gửi
Nếu bạn để ý sẽ thấy, TTCN là trang báo mạng duy nhất ở VN có trích nguồn rõ ràng và dẫn đến liên kết gốc đối với các bài dịch từ nguồn nước ngoài. Rất nhiều lúc mình muốn kiểm chứng thông tin đăng lại nhưng không thể vì họ chỉ ghi chung chung như: Theo BBC, Theo AP... Thậm chí không ghi (như bài viết này).
Do đó rất khó, và nếu có thể thì rất tốn thời gian, để kiếm chứng. Trong khả năng của mình chỉ có thể cố gắng chọn lọc thông tin từ các trang uy tín, sửa một số lỗi cơ bản về trình bày.
Thân,
cứ từ từ rồi sẽ sữa hết lỗi thôi mà, mình cứ làm ăn đàng hòang, rõ ràng thì người đọc sẽ ủng hộ thôi.
PCWVN họ thường dịch thuật ngữ, ở trường hợp này dịch đúng rồi. XSS dịch là "tấn công kịch bản liên trang", còn script(ing) dịch là "kịch bản". Xem tdcn/XSS
Sau khi Intel mua lại McAfee. Có nhiều lo ngại rằng McAfee sẽ mất dần vị thế hãng bảo mật thứ 2 thế giới sau Symantec và tạo cơ hội cho Trend Micro và Kaspersky. Có thể Intel sẽ làm hỏng 1 công ty bảo mật hàng đầu thế giới sau vụ mua bán của họ!