Google 揭露賽門鐵克軟體嚴重安全漏洞,建議立即更新

作者 | 發布日期 2016 年 07 月 03 日 12:00 | 分類 Google , 資訊安全 , 軟體、系統 follow us in feedly

防毒軟體公司賽門鐵克遭 Google 揭露有許多嚴重的安全漏洞,旗下企業資安服務和諾頓防毒系列產品皆受影響,也讓安裝防毒軟體的用戶反而更容易遭受攻擊。目前,賽門鐵克已公布漏洞修補,建議用戶應立即更新。



由於賽門鐵克在每樣產品使用相同的「核心引擎」,所有賽門鐵克軟體都受此安全漏洞影響,包含 Norton Security、Norton 360、Symantec Endpoint Protection、Symantec Email Security、Symantec Protection Engine、Symantec Protection for SharePoint Servers 等。

這些漏洞由專門找出軟體安全漏洞的 Google Project Zero 發現,計畫研究員 Tavis Ormandy 在部落格表示:「不可能再更糟了。」他指出,這些漏洞不需要任何用戶的互動即可觸發,影響軟體預設組態,且惡意軟體可以最高權限執行。例如,只要 email 中有針對漏洞攻擊的檔案或連結,用戶不需要打開檔案或有任何反應,就會觸發漏洞。

按照慣例,Google Project Zero 將漏洞通報給軟體開發商後,將給予 90 天的時間修復、並有 14 天緩衝期,時間一到,不論漏洞是否修復完成,都將漏洞公諸於世。

儘管 Ormandy 表示,賽門鐵克的修復速度算是相當快,但他也強力批評賽門鐵克的漏洞管理機制。他指出,防毒軟體商需監測已公布的漏洞並隨時更新,以提供更全面的防毒,不過,瀏覽賽門鐵克的病毒解析程式庫發現,他們雖然使用開源的病毒資料庫,卻已至少 7 年沒更新。

賽門鐵克不是第一個被發現有漏洞的防毒軟體公司,趨勢科技和英特爾 McAfee 等防毒軟體都曾被 Google Project Zero 舉報。

(本文由 數位時代 授權轉載;首圖來源:達志影像) 

發表迴響