A Symantec frissített - szarvashiba, közepes veszéllyel

Az AntiVirus Corporate Edition 9-es verziójának résén keresztül illetéktelenek a szoftver frissítéséhez használt loginnévhez és jelszóhoz juthatnak hozzá.

A cég terméke a LiveUpdate nevű, a frissítésért felelős kliensprogrammal kerül forgalomba. Miután a kliens frissíti a biztonsági szoftvert a LiveUpdate szerverről, a tranzakcióval kapcsolatos információk egy helyi logfájlban tárolódnak el. A Symantec állítása szerint, a LiveUpdate-es loginnevek és jelszavak kiolvashatók ebből a szöveges állományból.

A fájlhoz minden felhasználó hozzáférhet, így a cég alkalmazottai is megtekinthetik a frissítéshez szükséges felhasználó nevet és jelszót. Ez akkor jelent igazán veszélyt, ha ugyanazt a jelszót használják a frissítésekhez és a céges hálózat bizalmasabb területeihez való hozzáférésekhez is. Sajnos, mint arról már korábban hírt adtunk ez a jelenség távolról sem olyan ritka.

A hiányosságot először a Bugtraq, szoftverbiztonsági problémákkal foglalkozó levezőlistán jelezték a múlt héten. Az antivírus cég a frissítés mellett egy biztonsági tanácsadó oldallal is előrukkolt még múlt pénteken. A Symantec mindenekelőtt azt tanácsolja a felhasználóknak, hogy különböző felhasználóneveket és jelszavakat használjanak a LiveUpdate eléréshez, illetve a vállalat rendszeréhez szélesebb hozzáférést biztosító adminisztrátori jogosultsághoz - írja a Computerworld.

A Symantecnek nincs tudomása arról, hogy bárkinek is kára származott volna közepes veszélyességünek minősített hibából. A besorolás valószínűleg azért nem súlyosabb, mert a Live Update leggyakoribb felhasználóit - az otthoni és középvállalkozásokat - nem érinti ez a probléma és a nagyobb cégekre is csak közvetve jelent veszélyt.