Mea Culpa: Symantec will besser über Probleme informieren

Der Sicherheitsdienstleister Symantec hat Fehler im Umgang mit einer mangelhaften Absicherung seines Online-Security-Checks eingeräumt. Vor allem bei der Information der Anwender hätte das Unternehmen aktiver vorgehen müssen, so Steve Cullen, Symantecs Vice President für die Sparte Client Product. Der Anbieter war in die Kritik geraten, weil er erst mit Verzögerungen und nicht mit aller Offenheit auf die überraschenden Berichte eines Anwenders reagiert hatte.

Durch eine fehlende Absicherung eines Active-X-Elements waren vor allem kleinere Unternehmen und Privatanwender der Gefahr eines Hacks ausgesetzt. Angreifer hätten mittels eines Buffer Overflows das Client-System zum Absturz bringen und in der Folge beliebigen Code auf der Maschine ausführen können.

Normalerweise, so erklärte Cullen nun vor der Presse, stelle ein IP-Abgleich sicher, dass ausschließlich Symantec-Rechner auf die Active-X-Controls zugreifen könnten, um die gewünschten Überprüfungen der Sicherheitseinstellungen vorzunehmen. Dieser Abgleich sei in der fraglichen Software aber vergessen worden, so Cullen.

Den Anwendern stehen nun zwei Möglichkeiten offen, um ihre Systeme wieder abzudichten: Entweder wird der Online-Sicherheits-Check einfach wiederholt, womit das Active-X-Element überschrieben werden soll. Alternativ bietet Symantec inzwischen ein Tool an, dass offline verwendet werden kann, um das Active-X-Element zu deaktivieren.