Mehr Schwachstellen dank Sicherheitssoftware

Besonders zwei Produkte mussten sich der harschen Kritik der Sicherheitsexperten von Secunia stellen: Arcserve von CA und Mail Security von Symantec.

Mehrere CA-Produkte mit Antivirus-Komponeten haben laut Secunia Code-Probleme, doch insbesondere das Arcserve Backup – ein Produkt zum Datenschutz mit integrierter Antivirus- und Verschlüsselungsfunktion – ist auffallend schlecht codiert. “Somit ist das Sicherheitsprodukt Arcserve in sich unsicher. Es hat einen schlechten Code und ein schlechtes Design. Diese Probleme hätten behoben werden müssen, bevor das Produkt auf den Markt kam”, kritisierte Thomas Kristensen, Secunias IT-Chef.

Da viele der Sicherheitslücken direkt im Programmcode begründet liegen, werde das Produkt selbst nach Patches immer ähnliche Fehler haben, solange der Code nicht grundsätzlich überarbeitet werde. “Und besonders für einen Sicherheitsanbieter ist es schwach, wenn das gepatchte Produkt noch immer einige der gleichen Fehler hat”, schimpfte Kristensen.

Schon im Juni 2007 habe Secunia in der Backup-Software Sicherheitslücken entdeckt, die zu einem Pufferüberlauf führen konnten. Dies wurde CA mitgeteilt, doch das Unternehmen patchte nur manchen problematischen Code. So fand Secunia bei seiner aktuellen Untersuchung noch immer 60 Schwachstellen.

“CA nimmt die Sicherheit seiner Software sehr ernst und arbeitet kontinuierlich daran Schwachstellen herauszufiltern und zu beheben. Wir haben strikte Qualitätsrichtlinien und verbessern diese fortwährend”, lautete das Gegenstatement von CA. Die Qualität des Patches wollte CA allerdings nicht kommentieren.

Symantec wurde für die Verwendung des ‘Autonomy Keyview Software Development Kits’ in seiner E-Mail-Security-Software kritisiert. Auch dessen Sicherheitslücke könne ausgenutzt werden, um einen Pufferüberlauf hervorzurufen. Dieser von Secunia als ‘höchst kritisch’ eingestufte Fehler könne es so einem Angreifer ermöglichen, willkürlich Codes auszuführen.

Der Fehler wurde Symantec im Dezember mitgeteilt, ist laut Secunia aber noch nicht behoben. “Das Problem liegt darin, dass sich Symantec dabei auf Software von einem Drittanbieter verlassen hat. Jetzt müssen sie darauf warten, dass dieser den Patch bereitstellt”, erklärte Kristensen.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago