Drei Sicherheitslücken in der Symantec-Scan-Engine

Software Rapid7 hat drei Sicherheitslücken in der Scan-Engine von Symantec entdeckt. Die Scan-Engine fungiert dabei als Server-Software, mit Hilfe derer andere Hersteller von AntiVirus-Programmen nach Schädlingen suchen können. Symantec hat dazu bereits eine korrigierte Version mit der Nummer 5.1.0.7 bereitgestellt. Bei der ersten Sicherheitslücke handelt es sich um eine mehr oder weniger schwerwiegende Sicherheitslücke im Web-Interface des Dienstes. Dadurch könnten außenstehende Angreifer volle Kontrolle über den Server erlangen. Dazu reicht es auch, XML-Requests an den Server zu senden, wodurch letztlich die Passwortabfrage umgangen werden kann.

Die zweite Schwachstelle lässt sich über die SSL-Verschlüsselung ausnutzen. Da hier lediglich ein privater Schlüssel benutzt wird, kann er leicht extrahiert und für typische Man-in-the-Middle-Angriffe verwendet werden. Die dritte und letzte Lücke schließlich erlaubt es, auf sämtliche Dateien, die unterhalb des Installationsverzeichnisses liegen, zuzugreifen, wie etwa Einstellungsdateien oder Ähnliches.

Berichte: Lücke #1 | Lücke #2 | Lücke #3
Diese Nachricht empfehlen
Kommentieren49
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Original Amazon-Preis
23,99
Im Preisvergleich ab
?
Blitzangebot-Preis
19,98
Ersparnis zu Amazon 17% oder 4,01
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden