Symantec efter kildekode-tyveri: Afinstaller vores software
Alle kunder, der benytter Symantecs PcAnywhere-software rådes nu af firmaet selv til at afinstallere produktet. Kunder, der har installeret softwaren, der bruges til at tilgå andre maskiner på afstand, risikerer at blive hacket. Det sker efter en række vigtige dokumenter og kildekode blev stjålet fra sikkerhedsfirmaet, skriver Reuters.
Det er kode tilbage fra 2006 der er blevet stjålet fra firmaet, som nu får Symantec til helt at fraråde brugen af produktet, indtil der kommer en opdatering, som forhindrer angreb ud fra den fem år gamle kildekode.
Symantec anerkender, at det for nogle virksomheder er forretningskritisk at kunne bruge softwaren, og råder derfor firmaerne til at bruge den nyeste version og ”forstå de risici, der er forbundet med brugen”, som altså omfatter, at sårbarheder i kildekoden kan udnyttes til at stjæle data eller informationer.
Kommentarer (7)
Symantec får en glad smiley fra mig, for at udvise ansvarlighed, når de bliver bekendt med en alvorlig sikkerhedsfejl i deres produkt :-)
-
8 -
3
Hvis det virkelig er så farligt at koden til det software man bruger er i hænderne på offentligheden...
-
8
-
1
Det kan godt være at det bare er mig der er kynisk, men det lugter af at de har haft kendskab til sikkerhedshullerne i lang tid. Fra http://www.symantec.com/connect/blogs/important-information-pcanywhere :
On Monday, January 23, 2012, Symantec released a patch that eliminates three known vulnerabilities affecting customers using pcAnywhere 12.5 running on Windows. Additional patches are planned for release during the week of January 23 for pcAnywhere 12.0, pcAnywhere 12.1 and pcAnywhere 12.5. Symantec will continue to issue patches as needed until a new version of pcAnywhere that addresses all currently known vulnerabilities is released.
Altså de har patchet 3 huller, planlægger at patche flere i denne uge, og vil fortsætte indtil de ikke flere kendte sikkerhedshuller. Hvorfor har de pludseligt "fundet" så mange huller?
Syntes ærlig talt ikke det er godt nok for et firma der sælger sikkerhedsløsninger.
-
9
-
0
Kunne det ikke være kønt hvis der i kildekoden blev fundet en skjult bagdør,
og det er den de skal have lukket nu?
-
2
-
0
Symantec får en glad smiley fra mig, for at udvise ansvarlighed, når de bliver bekendt med en alvorlig sikkerhedsfejl i deres produkt
Den fortjener de ikke. Hvis kendskab til kildekoden og de anvendte protokoller er tilstrækkeligt til at kompromittere dine systemer er der noget alvorligt galt.
Tværtimod indikerer anbefalingen her at Symantecs produkter under den polerede overflade ikke er i orden.
-
9
-
0
Det er et tydeligt tegn på, at PC-Anywhere anvendte "security by obscurity", når offentliggørelse (eller rettere lækage) af kildekoden i sig selv kan udgøre en sikkerhedsrisiko. Sikkerhedsbristen kunne også have været afsløret i objektkoden, dog med større besvær.
-
2
-
0
