Les sites de McAfee, Symantec et Verisign victimes de bugs XSS
Les sites Web de trois leaders du secteur de la sécurité comprennent des failles qui pourraient être utilisées pour réaliser des escroqueries. C'est l'information publiée par le site XSSed qui a vérifié la présence de 30 vulnérabilités de type cross-site scripting (XSS) sur les sites de McAfee, Symantec et Verisign. Les failles détectées peuvent s'utiliser afin de réaliser des escroqueries ou implanter des codes malicieux sur les systèmes des visiteurs des sites. Les pirates utilisent de plus en plus - voire principalement - des sites légitimes afin d'héberger leurs malwares. En janvier dernier, XSSed avait identifié que 60 sites Web ayant reçu le label « Hacker Safe » de la part de McAfee, via le service ScanAlert, étaient en fait vulnérables aux attaques XSS. McAfee et les autres sociétés de sécurité ont minimisé la gravité des failles XSS, en comparaison par exemple de failles qui donnent un accès direct aux données d'un client stockées sur un serveur. Dans les derniers mois, l'exploitation des failles XSS a explosé, sur des sites comme ... ... MySpace, Paypal ou des sites de banques italiennes. La semaine dernière, le service ScanSafe avait indentifié que 68% des malwares qu'il avait bloqués en mai, étaient situés sur des sites Web légitimes. Ce qui représente un volume quatre fois supérieur à celui de l'année précédente. Ce type de failles permet de capturer les cookies de l'utilisateur, afin dérober les crédits de connexion sur certains sites Web. Dans une note rédigée en Mai, F-Secure notait qu'un site Web légitime avait été attaqué régulièrement et utilisé pour propager des codes malveillants, et qu'il avait été contacté à chaque fois afin de résoudre le problème. « Il était impossible de stopper le site, sans entraîner des dommages collatéraux aux utilisateurs commerciaux, dès lors l'administrateur du site doit être contacté pour réparer les dégâts, expliquait Sean Rowe de F-Secure, dans une note de recherche.
