有报告称,在赛门铁克公司反病毒产品的一个版本中发现了一个安全漏洞,该漏洞会将敏感的用户名和密码信息暴露在外,赛门铁克已经承认了这一点,并正在对此展开调查。
该漏洞影响赛门铁克反病毒合作版第9版本,黑客或未授权用户可以利用它获取敏感的服务器登录信息。漏洞详情贴在Bugtraq邮件列表上。
该漏洞影响那些已经部署了内部实时更新服务器的企业和组织,因为实时更新服务器在合作网络的基础上向赛门铁克软件客户端发布反病毒定义更新。
要从一个内部实时更新服务器上获得更新,客户端系统需要配置名称、IP地址及其它关于服务器的重要信息,另外,还需要一个用户名密码对来访问服务器并下载定义更新。据来自Bugtraq的消息称,虽然在机器的硬件驱动上对其它信息进行了加密,但包含用户名密码对的用于访问服务器的信息却是以明文形式出现在日志中的,该日志由赛门铁克公司的反病毒部门维护。
赛门铁克的客户也可以从外部实时更新服务器上获得更新,来摆脱这个令人心烦的问题,外部实时服务器是由赛门铁克自己运作的。
黑客要想看到日志信息,必须可以登录Windows系统。
据Bugtraq所言,所有可以访问系统的用户都可以看到日志信息,低级用户甚至可以利用之获得对实时更新服务器或其它网络上的安全服务器的访问。
赛门铁克一位发言人说,该公司的应急响应中心已经知道了这件事,并且正在对之作出反应。
但公司还没有收到任何与该漏洞有关的用户受影响程度的报告。
(T111)
