Besonders zwei Produkte mussten sich der harschen Kritik der Sicherheitsexperten von Secunia stellen: Arcserve von CA und Mail Security von Symantec.
Mehrere CA-Produkte mit Antivirus-Komponeten haben laut Secunia Code-Probleme, doch insbesondere das Arcserve Backup – ein Produkt zum Datenschutz mit integrierter Antivirus- und Verschlüsselungsfunktion – ist auffallend schlecht codiert. “Somit ist das Sicherheitsprodukt Arcserve in sich unsicher. Es hat einen schlechten Code und ein schlechtes Design. Diese Probleme hätten behoben werden müssen, bevor das Produkt auf den Markt kam”, kritisierte Thomas Kristensen, Secunias IT-Chef.
Da viele der Sicherheitslücken direkt im Programmcode begründet liegen, werde das Produkt selbst nach Patches immer ähnliche Fehler haben, solange der Code nicht grundsätzlich überarbeitet werde. “Und besonders für einen Sicherheitsanbieter ist es schwach, wenn das gepatchte Produkt noch immer einige der gleichen Fehler hat”, schimpfte Kristensen.
Schon im Juni 2007 habe Secunia in der Backup-Software Sicherheitslücken entdeckt, die zu einem Pufferüberlauf führen konnten. Dies wurde CA mitgeteilt, doch das Unternehmen patchte nur manchen problematischen Code. So fand Secunia bei seiner aktuellen Untersuchung noch immer 60 Schwachstellen.
“CA nimmt die Sicherheit seiner Software sehr ernst und arbeitet kontinuierlich daran Schwachstellen herauszufiltern und zu beheben. Wir haben strikte Qualitätsrichtlinien und verbessern diese fortwährend”, lautete das Gegenstatement von CA. Die Qualität des Patches wollte CA allerdings nicht kommentieren.
Symantec wurde für die Verwendung des ‘Autonomy Keyview Software Development Kits’ in seiner E-Mail-Security-Software kritisiert. Auch dessen Sicherheitslücke könne ausgenutzt werden, um einen Pufferüberlauf hervorzurufen. Dieser von Secunia als ‘höchst kritisch’ eingestufte Fehler könne es so einem Angreifer ermöglichen, willkürlich Codes auszuführen.
Der Fehler wurde Symantec im Dezember mitgeteilt, ist laut Secunia aber noch nicht behoben. “Das Problem liegt darin, dass sich Symantec dabei auf Software von einem Drittanbieter verlassen hat. Jetzt müssen sie darauf warten, dass dieser den Patch bereitstellt”, erklärte Kristensen.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.