Besonders zwei Produkte mussten sich der harschen Kritik der Sicherheitsexperten von Secunia stellen: Arcserve von CA und Mail Security von Symantec.
Mehrere CA-Produkte mit Antivirus-Komponeten haben laut Secunia Code-Probleme, doch insbesondere das Arcserve Backup – ein Produkt zum Datenschutz mit integrierter Antivirus- und Verschlüsselungsfunktion – ist auffallend schlecht codiert. “Somit ist das Sicherheitsprodukt Arcserve in sich unsicher. Es hat einen schlechten Code und ein schlechtes Design. Diese Probleme hätten behoben werden müssen, bevor das Produkt auf den Markt kam”, kritisierte Thomas Kristensen, Secunias IT-Chef.
Da viele der Sicherheitslücken direkt im Programmcode begründet liegen, werde das Produkt selbst nach Patches immer ähnliche Fehler haben, solange der Code nicht grundsätzlich überarbeitet werde. “Und besonders für einen Sicherheitsanbieter ist es schwach, wenn das gepatchte Produkt noch immer einige der gleichen Fehler hat”, schimpfte Kristensen.
Schon im Juni 2007 habe Secunia in der Backup-Software Sicherheitslücken entdeckt, die zu einem Pufferüberlauf führen konnten. Dies wurde CA mitgeteilt, doch das Unternehmen patchte nur manchen problematischen Code. So fand Secunia bei seiner aktuellen Untersuchung noch immer 60 Schwachstellen.
“CA nimmt die Sicherheit seiner Software sehr ernst und arbeitet kontinuierlich daran Schwachstellen herauszufiltern und zu beheben. Wir haben strikte Qualitätsrichtlinien und verbessern diese fortwährend”, lautete das Gegenstatement von CA. Die Qualität des Patches wollte CA allerdings nicht kommentieren.
Symantec wurde für die Verwendung des ‘Autonomy Keyview Software Development Kits’ in seiner E-Mail-Security-Software kritisiert. Auch dessen Sicherheitslücke könne ausgenutzt werden, um einen Pufferüberlauf hervorzurufen. Dieser von Secunia als ‘höchst kritisch’ eingestufte Fehler könne es so einem Angreifer ermöglichen, willkürlich Codes auszuführen.
Der Fehler wurde Symantec im Dezember mitgeteilt, ist laut Secunia aber noch nicht behoben. “Das Problem liegt darin, dass sich Symantec dabei auf Software von einem Drittanbieter verlassen hat. Jetzt müssen sie darauf warten, dass dieser den Patch bereitstellt”, erklärte Kristensen.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.