Besonders zwei Produkte mussten sich der harschen Kritik der Sicherheitsexperten von Secunia stellen: Arcserve von CA und Mail Security von Symantec.
Mehrere CA-Produkte mit Antivirus-Komponeten haben laut Secunia Code-Probleme, doch insbesondere das Arcserve Backup – ein Produkt zum Datenschutz mit integrierter Antivirus- und Verschlüsselungsfunktion – ist auffallend schlecht codiert. “Somit ist das Sicherheitsprodukt Arcserve in sich unsicher. Es hat einen schlechten Code und ein schlechtes Design. Diese Probleme hätten behoben werden müssen, bevor das Produkt auf den Markt kam”, kritisierte Thomas Kristensen, Secunias IT-Chef.
Da viele der Sicherheitslücken direkt im Programmcode begründet liegen, werde das Produkt selbst nach Patches immer ähnliche Fehler haben, solange der Code nicht grundsätzlich überarbeitet werde. “Und besonders für einen Sicherheitsanbieter ist es schwach, wenn das gepatchte Produkt noch immer einige der gleichen Fehler hat”, schimpfte Kristensen.
Schon im Juni 2007 habe Secunia in der Backup-Software Sicherheitslücken entdeckt, die zu einem Pufferüberlauf führen konnten. Dies wurde CA mitgeteilt, doch das Unternehmen patchte nur manchen problematischen Code. So fand Secunia bei seiner aktuellen Untersuchung noch immer 60 Schwachstellen.
“CA nimmt die Sicherheit seiner Software sehr ernst und arbeitet kontinuierlich daran Schwachstellen herauszufiltern und zu beheben. Wir haben strikte Qualitätsrichtlinien und verbessern diese fortwährend”, lautete das Gegenstatement von CA. Die Qualität des Patches wollte CA allerdings nicht kommentieren.
Symantec wurde für die Verwendung des ‘Autonomy Keyview Software Development Kits’ in seiner E-Mail-Security-Software kritisiert. Auch dessen Sicherheitslücke könne ausgenutzt werden, um einen Pufferüberlauf hervorzurufen. Dieser von Secunia als ‘höchst kritisch’ eingestufte Fehler könne es so einem Angreifer ermöglichen, willkürlich Codes auszuführen.
Der Fehler wurde Symantec im Dezember mitgeteilt, ist laut Secunia aber noch nicht behoben. “Das Problem liegt darin, dass sich Symantec dabei auf Software von einem Drittanbieter verlassen hat. Jetzt müssen sie darauf warten, dass dieser den Patch bereitstellt”, erklärte Kristensen.
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…