防毒软件公司赛门铁克遭 Google 揭露有许多严重的安全漏洞,旗下企业资安服务和诺顿防毒系列产品皆受影响,也让安装防毒软件的用户反而更容易遭受攻击。目前,赛门铁克已公布漏洞修补,建议用户应立即更新。
由于赛门铁克在每样产品使用相同的“核心引擎”,所有赛门铁克软件都受此安全漏洞影响,包含 Norton Security、Norton 360、Symantec Endpoint Protection、Symantec Email Security、Symantec Protection Engine、Symantec Protection for SharePoint Servers 等。
这些漏洞由专门找出软件安全漏洞的 Google Project Zero 发现,计划研究员 Tavis Ormandy 在部落格表示:“不可能再更糟了。”他指出,这些漏洞不需要任何用户的互动即可触发,影响软件预设组态,且恶意软件可以最高权限执行。例如,只要 email 中有针对漏洞攻击的档案或连结,用户不需要打开档案或有任何反应,就会触发漏洞。
按照惯例,Google Project Zero 将漏洞通报给软件开发商后,将给予 90 天的时间修复、并有 14 天缓冲期,时间一到,不论漏洞是否修复完成,都将漏洞公诸于世。
尽管 Ormandy 表示,赛门铁克的修复速度算是相当快,但他也强力批评赛门铁克的漏洞管理机制。他指出,防毒软件商需监测已公布的漏洞并随时更新,以提供更全面的防毒,不过,浏览赛门铁克的病毒解析程式库发现,他们虽然使用开源的病毒数据库,却已至少 7 年没更新。
赛门铁克不是第一个被发现有漏洞的防毒软件公司,趋势科技和英特尔 McAfee 等防毒软件都曾被 Google Project Zero 举报。
- How to Compromise the Enterprise Endpoint
- Google: Symantec antivirus flaws are ‘as bad as it gets’
(本文由 数位时代 授权转载;首图来源:达志影像)
