Das Sicherheitsunternehmen Secunia hat seinen jährlichen Report herausgegeben, in dem es Sicherheitslücken in IT-Produkten auflistet. Besonders kritisiert wurden Arcserve von CA und Mail Security von Symantec.
Mehrere CA-Produkte mit Antiviren-Komponeten weisen laut Secunia Code-Probleme auf. Doch insbesondere Arcserve Backup - ein Produkt zum Datenschutz mit integrierter Antiviren- und Verschlüsselungsfunktion - sei sehr schlampig programmiert. "Somit ist das Sicherheitsprodukt Arcserve unsicher. Es ist schlecht codiert und schlecht designt. Diese Probleme hätten behoben werden müssen, bevor das Produkt auf den Markt kam", kritisiert Thomas Kristensen, Secunias IT-Chef.
Da viele der Sicherheitslücken direkt im Programmcode begründet lägen, werde das Produkt selbst nach der Bereitstellung von Patches immer ähnliche Fehler haben, solange der Code nicht grundsätzlich überarbeitet werde. "Besonders für einen Sicherheitsanbieter ist es schwach, wenn das gepatchte Produkt noch immer einige ähnliche Fehler aufweist", sagt Kristensen.
Schon im Juni 2007 habe Secunia in der Backup-Software Sicherheitslücken entdeckt, die zum Buffer Overflow führen können. Dies wurde CA mitgeteilt, doch das Unternehmen patchte nur einige der Code-Fehler. So fand Secunia bei seiner aktuellen Untersuchung noch immer 60 Schwachstellen.
"CA nimmt die Sicherheit seiner Software sehr ernst und arbeitet kontinuierlich daran, Schwachstellen herauszufiltern und zu beheben. Wir haben strikte Qualitätsprüfungen und verbessern uns fortlaufend", so die Antwort von CA.
Symantec wurde für die Verwendung des Autonomy-Keyview-Software-Development-Kits in seiner Mail-Security-Software kritisiert. Auch dessen Sicherheitslücke könne ausgenutzt werden, um einen Buffer Overflow hervorzurufen. Dieser von Secunia als "höchst kritisch" eingestufte Fehler könne es einem Angreifer ermöglichen, willkürlich Code auszuführen.
Der Fehler wurde Symantec im Dezember mitgeteilt, ist laut Secunia aber noch ungepatcht. "Das Problem liegt darin, dass sich Symantec dabei auf Software von einem Drittanbieter verlassen hat. Jetzt müssen sie darauf warten, dass dieser den Patch bereitstellt", erklärt Kristensen.
