Symantecs sikkerhetssjekk var et sikkerhetshull

På sitt nettsted tilbyr Symantec en gratis sikkerhetssjekk av din PC. De som har sjekket seg nylig, kan ha lastet ned et sikkerhetshull.

Sikkerhetssjekken til Symantec er en gratis tjeneste som kartlegger datavirus og andre kjente sårbarheter på din PC. For å kjøre sjekken fra Symantecs nettsted, må du laste ned flere ActiveX-komponenter. En av disse komponentene var inntil ganske nylig befengt med en minnefeil som en uvedkommende kan benytte seg av for å bryte seg inn i din PC.

Denne komponenten er nå erstattet av en utgave uten minnefeilen, og følgelig også uten sikkerhetsfeilen.

Symantec anbefaler alle som har tatt sikkerhetssjekken nylig, å ta den på nytt, slik at den lusete utgaven av kontrollen erstattes av den nye, uten sårbarheten. De som ikke tar testen på nytt, vil ha den lusete utgaven stående igjen på sin PC, med mindre de fjerner den manuelt.

Sårbarheten ble først publisert på en diskusjonsliste kalt "Full Disclosure" – enklest tilgjengelig gjennom nettstedet Der Keiler – 22. juni. Der gjorde Cesar Cerrudo rede for feilen og oppga hvordan den kunne fikses, altså hvilken fil som må fjernes. Han innrømmet samtidig at han ikke hadde varslet Symantec, i strid med bransjeretningslinjer som anbefaler å holde sårbarheter skjult for offentligheten i 30 dager etter at den skyldige leverandøren er informert. Han fulgte opp innrømmelsen offensivt:

– Dette er virkelig morsomt. Symantec prøver å beskytte brukere og så forsyner de brukernes PC-er med farlige ActiveX-komponenter. Jeg mener denne komponenten kanskje bør oppføres på Nortons virusliste… Jeg oppfordrer antivirusselskaper med online virusskannere til å sjekke sine ActiveX-komponenter hvis de virkelig er interessert i å beskytte brukere, særlig bær Trend Micro fikse sine HouseCall ActiveX med flere oversvømte [buffere].

En annen innsender til listen peker på at siden den feilaktige ActiveX-komponenten fortsatt er tilgjengelig på PC-er som ikke har tatt en ny sikkerhetssjekk, vil det ikke være uoverkommelig for ondsinnede å få tak i den. De vil følgelig være i stand til å opprette et nettsted med en kopi av Symantecs tjeneste, men der brukeren tildeles ActiveX-komponenten med sikkerhetshullet. Siden komponenten er signert av Symantec, vil det være umulig for brukeren å avsløre at det dreier seg om en komponent som Symantec har trukket tilbake.

Innsenderen mener dette tilfellet viser at hele systemet med signerte ActiveX-komponenter er grunnleggende forfeilet, og at Symantec handler mot bedre vitende når selskapet fortsatt tyr til det i sine sikkerhetsprodukter. Han legger til at Symantec burde være mer opptatt av dette enn av at de ikke ble forhåndsinformert om sårbarheten.

Et spørsmål som ikke stilles er hvorfor det ikke ordnes slik at ActiveX-komponenter av denne typen i det minste gjøres selvutslettende, slik at de ikke blir liggende igjen på PC-en etter at tjenesten er utført?

Til toppen