Sicherheitslücken in drei Symantec-Produkten

Der Sicherheitsspezialist Symantec steht am ‘Online-Pranger’ des Sicherheitsunternehmens eEye Digital Security. Das Unternehmen meldet Probleme bei den Produkten Norton Internet Security 2004, Internet Security 2004 Professional und Personal Firewall 2004. Das Gefährdungspotential wird als hoch eingestuft – die Sicherheitslücke könne in der Default-Installation der Software für Denial-of-Service Angriffe ausgenutzt werden.
Mit seinem ‘Online-Pranger’ hat eEye eine Möglichkeit gefunden, Druck auf Software-Hersteller auszuüben, wenn sie auf Sicherheitslücken nicht angemessen reagieren. Entdeckt die Firma ein Leck, werden Hersteller und Nutzer darüber informiert. Um zu vermeiden, dass Hacker die Informationen missbrauchen, werden die Details jedoch erst nach einer gewissen Wartezeit veröffentlicht.

So hat der Hersteller nach der Warnung durch eEye in einer so genannten ‘grünen Phase’ 30 Tage Zeit, um ein Patch zu entwickeln, als gelbe Phase kommen weitere 30 Tage Toleranzzeit hinzu. Wenn 60 Tage lang nichts passiert, zählt eEye die überfälligen Tage in einer ‘roten Phase’. Die Entwicklung kann auf der Homepage des Unternehmens verfolgt werden.

Symantec wurde am 19. April über die Sicherheitslücken informiert, befindet sich also erst am Anfang der grünen Phase. Die eEye-Statistik kann allerdings schnell richtig peinlich für die Hersteller werden, weil der Verbraucher genau nach verfolgen kann, welches Unternehmen es mit der Fehlerbehebung nicht so genau nimmt. Angeführt wird die Liste derzeit von Microsoft. Nach eEye-Zählung ist ein Patch zu einer Lücke im Windows XP seit 139 Tagen überfällig. Das heißt Microsoft wurde vor fast sieben Monaten über den Fehler informiert.