Mehr Schwachstellen dank Sicherheitssoftware

Katharina Guderian, Tom Espiner,

Das Sicherheitsunternehmen Secunia hat in seiner Jahresstatistik die im letzten Jahr aufgetauchten Schwachstellen verschiedenster Anwendungen analysiert und eine Häufung von Fehlern in Sicherheitsprogrammen festgestellt.

Besonders zwei Produkte mussten sich der harschen Kritik der Sicherheitsexperten von Secunia stellen: Arcserve von CA und Mail Security von Symantec.

Mehrere CA-Produkte mit Antivirus-Komponeten haben laut Secunia Code-Probleme, doch insbesondere das Arcserve Backup – ein Produkt zum Datenschutz mit integrierter Antivirus- und Verschlüsselungsfunktion – ist auffallend schlecht codiert. “Somit ist das Sicherheitsprodukt Arcserve in sich unsicher. Es hat einen schlechten Code und ein schlechtes Design. Diese Probleme hätten behoben werden müssen, bevor das Produkt auf den Markt kam”, kritisierte Thomas Kristensen, Secunias IT-Chef.

Da viele der Sicherheitslücken direkt im Programmcode begründet liegen, werde das Produkt selbst nach Patches immer ähnliche Fehler haben, solange der Code nicht grundsätzlich überarbeitet werde. “Und besonders für einen Sicherheitsanbieter ist es schwach, wenn das gepatchte Produkt noch immer einige der gleichen Fehler hat”, schimpfte Kristensen.

Schon im Juni 2007 habe Secunia in der Backup-Software Sicherheitslücken entdeckt, die zu einem Pufferüberlauf führen konnten. Dies wurde CA mitgeteilt, doch das Unternehmen patchte nur manchen problematischen Code. So fand Secunia bei seiner aktuellen Untersuchung noch immer 60 Schwachstellen.

“CA nimmt die Sicherheit seiner Software sehr ernst und arbeitet kontinuierlich daran Schwachstellen herauszufiltern und zu beheben. Wir haben strikte Qualitätsrichtlinien und verbessern diese fortwährend”, lautete das Gegenstatement von CA. Die Qualität des Patches wollte CA allerdings nicht kommentieren.

Symantec wurde für die Verwendung des ‘Autonomy Keyview Software Development Kits’ in seiner E-Mail-Security-Software kritisiert. Auch dessen Sicherheitslücke könne ausgenutzt werden, um einen Pufferüberlauf hervorzurufen. Dieser von Secunia als ‘höchst kritisch’ eingestufte Fehler könne es so einem Angreifer ermöglichen, willkürlich Codes auszuführen.

Der Fehler wurde Symantec im Dezember mitgeteilt, ist laut Secunia aber noch nicht behoben. “Das Problem liegt darin, dass sich Symantec dabei auf Software von einem Drittanbieter verlassen hat. Jetzt müssen sie darauf warten, dass dieser den Patch bereitstellt”, erklärte Kristensen.