Publié par UnderNews Actu - Télécharger l'application Android

Un chercheur en sécurité informatique a découvert ce weekend qu’une vulnérabilité de type Cross Site Scripting touche le site officiel de l’éditeur de sécurité bien connu BitDefender.

EDIT : La faille XSS a été corrigée depuis quelques heures déjà. Il ne s’agissait pas du site officiel mais du site de la boutique officielle, qui est un partenaire de ventes en ligne.

CyberGhost VPN Promo

D’autre part, aucune donnée n’a été compromise et aucun accès à la base clients n’était possible via l’exploitation de cette faille.

L’équipe de Cyberactus a vérifié et confirmé l’existence de la faille XSS, une vulnérabilité présente sur la boutique en ligne officielle de BitDefender. Pour rappel, ce genre de « bug » peut permettre des actions malveillantes à partir d’un lien particulièrement formé. Un pirate pourrait mettre en place un backdoor XSS; lancer l’installation d’un code malveillant ; intercepter le cookie de connexion, etc…

L’équipe de BitDefender a été prévenue via son compte Twitter hier. En attente de correction de leur part, prenez garde aux mails que vus pourriez recevoir de la part de l’antivirus car ils pourraient posséder des liens piégés.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , , , , ,


Vos réactions
  1. David de Bitdefender

    Le problème a été corrigé depuis 11h ce matin, il affectait un partenaire de ventes en ligne Bitdefender et non pas le site officiel. Par ailleurs aucune donnée n’a été compromise et aucun accès à la base clients de la boutique de ce partenaire n’était accessible via l’exploitation de cette faille.

  2. David de Bitdefender

    Correctif: le site officiel est fiable et n’est pas impacté – la faille concerne(rait) la boutique, gérée par un prestataire. Les vérifications sont en cours.





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.