塔維斯·奧曼迪再次出擊,令人心痛。在一個部落格文章谷歌安全研究人員零計畫剛剛再次點名了賽門鐵克安全軟體。他剛剛公開七個新的嚴重缺陷這會影響發布者的所有產品,無論是面向大眾(諾頓)或是面向企業(EndPoint Protection、掃描引擎等)。
「我們幾乎不能做得比這些缺陷更糟糕了。它們不需要用戶交互,影響原始配置,並授予最高級別的執行權限。在某些情況下,在 Windows 上,易受攻擊的程式碼甚至會影響核心 »塔維斯·奧曼迪 (Tavis Ormandy) 認為,並補充說,其中一些缺陷可用於創建電腦蠕蟲,這是特別危險的。去年5月,Google工程師已經發布了第一批嚴重故障在賽門鐵克軟體中。
粗心的開發流程
在發現的新缺陷中,Ormandy 先生詳細介紹了與 PowerPoint 文件分析相關的一個缺陷 (CVE-2016-2209)。它透過原始程式碼展示了此功能中的緩衝區溢位如何允許攻擊者以管理員權限在系統上執行任意程式碼。
該研究人員也批評了賽門鐵克的軟體開發管理。據他介紹,出版商已經將開源庫整合到其產品中,並且已經…七年沒有更新了!「這些庫中的數十個公共漏洞影響著賽門鐵克的產品。對於其中一些,甚至還有公共操作代碼”,他強調。
他的建議很簡單:您必須不斷檢查第三方軟體是否有漏洞並且是否已更新。“沒有人願意這樣做,但它必須成為安全開發過程中不可或缺的一部分”,他補充道。賽門鐵克顯然距離這樣的品質標準還很遠,這對於專門從事安全的出版商來說是一種恥辱!
好消息是賽門鐵克已經發布了針對所有這些漏洞的修補程式。特別是大多數諾頓產品將透過 LiveUpdate 系統自動更新。對於諾頓啟動刪除工具,您需要手動下載新版本。但是,目前沒有適用於 Mac 版 Norton Security 的更新。
