Thema: Symantec ....

[SiLæncer]

Den Virenscannern von Symantec, gleich ob Einzelplatz- oder Server-Version, laufen die Puffer bei der Verarbeitung von manipulierten RAR-Archiven über. Die Lücken ermöglichen Angreifern ohne jede Benutzerinteraktion – etwa über E-Mails –, Code einzuschleusen und auszuführen. Ebenfalls betroffen sind Produkte, die den Symantec-Scanner lizenziert haben und unter eigenem Namen vertreiben.

Die von Alex Wheeler entdeckten Schwachstellen werden in seiner Sicherheits-Warnmeldung nicht detaillierter erläutert. Wahrscheinlich will Wheeler größeren Schaden verhindern, da Symantec bis jetzt noch nicht mit Sicherheits-Updates reagiert hat. Wheeler schlägt vor, bis zum Erscheinen von Updates in den Einstellungen das Scannen von RAR-Dateien abzustellen.

Siehe dazu auch:

    * Symantec Antivirus Library RemØte Heap Overflows Security Advisory von Alex Wheeler

Quelle und Links : http://www.heise.de/newsticker/meldung/67599

[SiLæncer]

Eine vor zwei Tagen vom Sicherheitsdienstleister eEye an Symantec gemeldete Sicherheitslücke in deren Antivirus-Programmen sorgt in US-Medien bereits für einigen Wirbel. Der Grund: Über die Lücke ließe sich ohne Interaktion des Anwenders Schadcode auf dem PC ausführen. Das ist eigentlich etwas, was ein Antvirenprogramm verhindern sollte. Zwar gibt die Beschreibung von eEye zu der Lücke noch nicht viel her, gegenüber Medienvertretern äußerte ein Sprecher von eEye aber schon mal die Vermutung, ein Wurm könnte über die klaffende Lücke in die Systeme eindringen, Dateien zerstören und Backdoors öffnen. Da Symantecs Antivirenprodukte auf rund 200 Millionen Systemen in Unternehmen und bei Privatanwendern installiert ist, ist die Sorge eines möglichen Wurmausbruchs nicht ganz unberechtigt. Allerdings gilt dies für eine Vielzahl anderer Lücken auch.

Warum eEye nun gerade auf diese Lücke nachdrücklich zu sprechen kommt, ist unklar. Ausnutzbare Buffer Overflows in Antivirensoftware gab es in den vergangenen Monaten reichlich, darunter auch in Produkten von F-Secure, McAfee, ClamAV, Sophos und anderen. Allerdings hat eEye in der Vergangenheit schon einmal für einen Aufstand in den Medien rund um eine Lücke im ASN.1-Parser von Windows gesorgt. Damals hieß es von eEye, die Lücke sei eine noch nie dagewesene Bedrohung, da sehr viele Systeme verwundbar seien. Größere Angriffe oder gar Wurmausbrüche blieben jedoch aus.

Dennoch sollten Anwender die Warnung nicht auf die leichte Schulter nehmen. Betroffen sind Symantec Antivirus 10.x und Symantec Client Security 3.x. Andere Produkte enthalten die Lücke wahrscheinlich ebenfalls, Symantec prüft die Analysen von eEye noch. Ein Patch ist nocht nicht verfügbar. Derzeit scheint es aber noch keine Sicherheitsvorfälle rund um die neue Lücke gegeben zu haben.

Siehe dazu auch:

    * Upcoming Advisories, Fehlerbericht von eEye

Quelle und Links : http://www.heise.de/security/news/meldung/73542

[SiLæncer]

Aktuelle Antivirus-Produkte von Symantec weisen eine Schwachstelle auf, die das Einschleusen von Code ermöglichen soll.

Das Sicherheitsunternehmen Eeye Digital Security berichtet über eine nicht näher beschriebene Sicherheitslücke in Symantec Antivirus 10.x, die sich aus der Ferne ausnutzen lassen soll. Nach einer ersten Stellungnahme von Symantec sind die Endanwender-Produkte aus der Norton-Reihe nicht betroffen.

Eeye gibt in seiner Ankündigung einer Sicherheitsempfehlung lediglich an, die Anfälligkeit könne ausgenutzt werden, um schädlichen Code mit System-Privilegien auszuführen. Dies erfordere keine Mithilfe durch den Anwender. Gegenüber US-Medien meinte ein Eeye-Sprecher, die Schwachstelle sei "Wurm-tauglich".

Nach Angaben von Symantec in einer ersten Stellungnahme enthalten die Norton-Produkte den anfälligen Programm-Code nicht. Betroffen sei lediglich die Unternehmenslösung Symantec Antivirus Corporate Edition 10. Man untersuche die Hinweise über die Schwachstelle und werde gegebenenfalls Updates für anfällige Produkte bereit stellen. Symantec habe bislang keine Erkenntnisse über eine praktische Ausnutzung der Anfälligkeit.

In letzter Zeit werden immer wieder Sicherheitslücken in Antivirus-Programmen entdeckt. Dadurch werden die Rechner, die damit geschützt werden sollen, anfällig für Angriffe, etwa durch speziell präprierte Mail-Anhänge. Letztlich sind es meist die gleichen Programmierfehler, die auch in anderen Software-Produkten zu Sicherheitslücken führen, also Pufferüberlaufe im Speicher. Als typisch für die Schwachstellen in Antivirus-Produkten hat sich der Umgang mit präparierten Archiv-Dateien erwiesen.

Quelle : www.pcwelt.de

[SiLæncer]

Symantec hat den Fehlerbericht zur kritischen Sicherheitslücke in seinen Antivirenprodukten ein weiteres Mal aktualisiert und den Umfang der betroffenen Produkte eingegrenzt. Demnach findet sich der Buffer Overflow, über den sich ohne zutun des Nutzers Schadcode einschleusen und ausführen lässt in folgenden Produkten:

    * Symantec Client Security 3.1 Build 3.1.0.394 und 3.1.0.400
    * Symantec Client Security 3.0 Build 3.0.2.2010 und 3.0.2.2020
    * Symantec Antivirus Corporate Edition 10.1 Build 10.1.0.394 und 10.1.0.400
    * Symantec Antivirus Corporate Edition 10.0 Build 10.0.2.2010und 10.0.2.2020

Nicht betroffen sind die Produkte der Norton-Produktfamilie, Symantec AntiVirus Corporate Edition 8.0, 8.1 und 9.0, sowie Symantec Client Security 1.0, 1.1 und 2.0. Der Hersteller hat relativ schnell reagiert und stellt bereits Updates zum Schließen der Lücke bereit – gerade einmal vier Tage nachdem eEye die Lücke an Symantec meldete. Die Patches werden allerdings noch nicht über das LiveUpdate verteilt und sind auch nur für die englischsprachigen Produktversionen verfügbar. An lokalisierten Versionen arbeitet Symantec noch. Administratoren sollten die bereitgestellten Patches gegebenenfalls manuell herunterladen und installieren.

Siehe dazu auch:

    * Symantec Client Security and Symantec AntiVirus Elevation of Privilege, Fehlerbericht von Symantec


Quelle und Links : http://www.heise.de/newsticker/meldung/73589

[SiLæncer]

Symantec hat Sicherheitslücken in mehreren seiner Produkte gemeldet. So findet sich in Norton AntiVirus 2005 bis 2006, Norton Internet Security 2005 bis 2006 sowie Norton System Works 2005 bis 2006 ein ActiveX-Control, über das Angreifer ihren Code in ein Windows-System schleusen können. Dazu genügt der Besuch einer präparierten Webseite. Das Control ist Bestandteil des Automated Support Assistant, der zur Fehlersuche auf dem PC dient.

Symantec stuft das Problem als gering ein, da das Control nur von bestimmten Webseiten gesteuert werden könne. Ein Angreifer müsse für eine erfolgreiche Attacke eine vertrauenswürdige Seite vorgaukeln. Ein Patch ist verfügbar, der bereits über LiveUpdate verteilt wird. Die Symantec-Corporate- und Enterprise-Produkte sind nicht betroffen. In Consumer-Produkten der Version 2007 ist der Fehler ebenfalls nicht enthalten.

Des Weiteren können am System angemeldete Anwender mit eingeschränkten Rechten über eine Schwachstelle in einem Treiber ihre Rechte erhöhen. Der Fehler steckt in Symantecs AntiVirus Corporate Edition und darüber hinaus in:

Norton AntiVirus
Norton Internet Security
Norton System Works
Symantec AntiVirus Corporate Edition
Symantec AntiVirus for Blue Coat Security
Symantec AntiVirus for CacheFlow Security Gateway
Symantec AntiVirus for Clearswift MIME Sweeper
Symantec AntiVirus for Inktomi Traffic Edge
Symantec AntiVirus for Microsoft ISA Server
Symantec AntiVirus for NetApp Filer/NetCache
Symantec BrightMail AntiSpam
Symantec Client Security
Symantec Mail Security for Domino
Symantec Mail Security for Exchange
Symantec Mail Security for SMTP
Symantec Scan Engine
Symantec Web Security for Windows

Betroffen sind aber nur die 32-Bit- und 64-Bit-Windows-Versionen der Produkte, also Windows NT, Windows 2000 und Windows XP. Die Versionen für Macintosh, Windows 95/98/ME, Linux und Solaris sind nicht verwundbar. Ursache des Problems sind die Treiber NAVEX15.SYS und NAVENG.SYS, die beim Aufruf von Funktionen für I/O-Control die angegebenen Adressen nicht kontrollieren. Ein Angreifer kann nach Angaben des Entdeckers (iDefense) diese Adressen manipulieren, eigene Codesegmente in den Speicher schreiben und mit Systemrechten starten. Auch ein am Scanner vorbeigeschlüpfter Schädling könnte diese Schwachstelle ausnutzen, um etwa die Sicherheitsfunktionen komplett lahmzulegen. Symantec hat Updates zum Download bereitgestellt, die die Lücke schließen sollen. Auch das Update der Virendefinitionsdatei vom 4. Oktober 2006 behebt den Fehler.

Siehe dazu auch:

    * Symantec Automated Support Assistant: Vulnerabilities in Support Tool ActiveX Control, Fehlerbericht von Symantec
    * Symantec Device Driver Elevation of Privilege, Fehlerbericht von Symantec
    * Symantec AntiVirus IOCTL Kernel Privilege Escalation Vulnerability, Fehlerbericht von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/79112

[SiLæncer]

In Symantecs Produkten für Endkunden und Unternehmen führen Schwachstellen dazu, dass Anwender ihre Rechte erhöhen oder bösartige Individuen aus dem Netz gegen die Software einen Denial-of-Service-Angriff ausführen können; in einem Fall könnte möglicherweise auch eingeschleuster Schadcode zur Ausführung kommen. Die Fehler betreffen Symantecs Antivirus, Client Security, Backup Exec und die Norton-Produktlinie des Unternehmens.

In Backup Exec for Windows Servers 10.0, 10d und 11d kann ein Pufferüberlauf auftreten, wenn eine Benutzeranfrage an den RPC-Server auf Port 6106 in einen Puffer fester Größe kopiert wird. Eine Anmeldung des Angreifers ist dazu laut iDefense nicht nötig. Ein Angriff kann zu einem Absturz des Dienstes führen, möglicherweise lässt sich so jedoch auch Schadcode einschleusen.

Wenn der Hintergrundwächter RTVScan von Symantecs Antivirus Corporate Edition 9.0, 10.0, 10.1 und Client Security 2.0, 3.0 und 3.1 konfiguriert ist, eine Meldung über gefundene Schädlinge auszugeben, können Anwender mit eingeschränkten Benutzerkonten darüber ihre Rechte ausweiten. Der E-Mail-Scanner in Symantec Antivirus Corporate Edition 9.x und 10.0 sowie in Client Security 2.0 und 3.0 kann abstürzen, wenn eine zu prüfende E-Mail im Empfänger-, Absender- oder Betreff-Feld einen Eintrag mit mehr als 951 Zeichen enthält. In der Folge überprüft die Software weitere Mails nicht mehr.

Die Produkte Norton AntiSpam 2005, Antivirus, Internet Security, Personal Firewall und System Works in den Versionen 2005 und 2006 sowie Symantec Antivirus Corporate Edition 9.x, 10.0 und 10.1 und Client Security 2.0, 3.0 und 3.1 enthalten den Kernel-Treiber symtdi.sys. Dieser überprüft vom Benutzer übergebene Daten in einem Interrupt-Request-Packet (IRP) nicht korrekt. Dadurch können lokale Anwender ihre Rechte auf SYSTEM-Ebene ausweiten.

In den Sicherheitsmeldungen hat Symantec Patches verlinkt, die die Sicherheitslücken schließen. Während Unternehmenskunden die Patches von fileconnect.symantec.com selbst herunterladen und installieren müssen, erhalten sie die Endkundenprodukte der Norton-Reihe auch über das Live-Update.

Update:
Eine weitere Sicherheitsmeldung erläutert Sicherheitslücken beim Verarbeiten von Archiven im RAR- und CAB-Format. Manipulierte RAR-Dateien können einen Denial-of-Service provozieren, da sie die Entpackroutinen in eine Endlosschleife schicken. Fehlerhafte Längenprüfungen beim Entpacken von CAB-Archiven können sogar zur Ausführung von fremden Programmcode führen. Die Sicherheitslücke betrifft nahezu alle Unternehmens- und Endkundenprodukte von Symantec, eine genaue Auflistung findet sich in dem Sicherheitsbericht.

Siehe dazu auch:

    * Symantec Backup Exec for Windows Server: RPC Interface Heap Overflow, Denial of Service, Sicherheitsmeldung von Symantec
    * Symantec Client Security Internet E-mail Auto-Protect Stack Overflow, Fehlermeldung von Symantec
    * Symantec AntiVirus Corporate Edition Local Elevation of Privilege, Fehlerbericht von Symantec
    * Symantec SYMTDI.SYS Device Driver Local Elevation of Privilege, Fehlermeldung von Symantec

Quelle und Links : http://www.heise.de/security/news/meldung/92599

[SiLæncer]

Symantec hat auf Updates für mehrere seiner Produkte hingewiesen, die Sicherheitslücken schließen sollen. Unter anderem enthält das Alert Management System 2 (AMS2) vier kritische Lücken, die sich zum Kompromittieren eines Systems aus der Ferne ausnutzen lassen.

AMS2 ist Bestandteil der Symantec System Center Console, des Symantec AntiVirus Server und des AntiVirus Central Quarantine Server und lauscht auf spezifische Sicherheitsnachrichten auf dem Netz. Betroffen sind laut Hersteller Symantec AntiVirus Corporate Edition, Symantec Client Security und Symantec Endpoint Protection in unterschiedlichen Versionen.

Darüber hinaus beheben die Updates eine Schwachstelle, durch die Angreifer eigene Nachrichten auf den Login-Bildschirm des Reporting Servers der oben genannten Produkte schreiben konnte. Bei Norton 360 1.0, Norton Internet Security 2005 bis 2008, Symantec AntiVirus 10.1 MR7 und vorgehende sowie Symantec Endpoint Protection 11.0 behebt ein weiteres Update zudem die Möglichkeit, über den LogViewer eingeschleustes JavaScript auf dem Rechner eines Opfers auszuführen.

Siehe dazu auch:

    * Symantec Alert Management System 2 multiple vulnerabilities, Bericht von Symantec
    * Symantec Reporting Server Improper URL Handling Exposure, Bericht von Symantec
    * Symantec Log Viewer JavaScript Injection Vulnerabilities, Bericht von Symantec

Quelle : http://www.heise.de/newsticker/Symantec-patcht-mehrere-Produkte--/meldung/137109

[SiLæncer]

Per Pressemitteilung hat Symantec auf seine speziell zur Fußball-WM in Südafrika gestartete Site 2010NetThreats  aufmerksam gemacht und sich damit nicht wirklich einen Gefallen getant: Beinahe unter jedem dort veröffentlichten Sicherheitstipp finden sich Kommentare von Spammern mit Links zu Handtaschen, T-Shirts, Metallteilen, Hotels, Sportschuhen und anderen dubiosen Angeboten. Die per Kommentar-Spam verbreiteten Links scheinen alle zu mehr oder weniger harmlose Online-Shops zu führen, es wäre für die Spammer jedoch ein Leichtes, auch Links zu mit Malware verseuchten Servern unterzubringen.


Handtasche gefällig? Die Domain des Shops wird vom Spammer-freundlichen Registrar Xin net verwaltet.

Der Kommentar-Spam ist möglich, weil Symantec bei der Kommentarfunktion auf jegliche bekannten Sicherungsmechanismen verzichtet. Weder ist zum Posten eines Kommentars eine Registrierung nötig, noch verlangt die Site die Eingabe eines CAPTCHA. Angesichts der Schutzfunktionen, die professionelle Content Management Systeme (CMS) wie Wordpress heute frei Haus mitbringen, geht Symantec erstaunlich nachlässig mit der Sicherheit seiner Web-Nutzer um. Noch nicht einmal das von Google vorgeschlagene Verändern der geposteten URLs verfolgt Symantec: Ein automatisch vom CMS zur URL hinzugefügtes Attribut (rel="nofollow") soll verhindern, dass Suchmaschinen die Spam-Links indizieren und somit deren Relevanz steigt.

Nimmt man die technische Tiefe der auf 2010NetThreats veröffentlichten Tipps als Maßstab, hat Symantec offensichtlich technisch weniger versierte Web-Nutzer im Auge. Insbesondere diese nur mäßig mit der Arbeitsweise des Cyber-Untergrunds vertrauten User werden aber schnell zum Opfer der Spammer, wenn sie arglos auf die veröffentlichten Links klicken. Damit konterkariert Symantec den an sich löblichen Ansatz seines Web-Projekts.

Quelle : www.heise.de

[SiLæncer]

Die Hacker-Gruppe Dharmaraja hat Sourcecode der Antivirensoftware von Symantec erbeutet. Laut Symantec handelt es sich dabei um vier bis fünf Jahre alten Quellcode.

Nach einem Einbruch beim Nachrichtendienst des indischen Militärs hat die Hackergruppe mit dem Namen Dharmaraja Sourcecode von Antivirenprogrammen des Herstellers Symantec erbeutet. Die Hackergruppe hatte auf Pastebin eine entsprechende Nachricht veröffentlicht, in der sie mit der Veröffentlichung des Quellcodes droht.

Zunächst ist nur ein Dokument des Herstellers von Anitvirensoftware veröffentlicht worden, das aus dem Jahr 1999 stammt. Dort werden einzelne Funktionen des Antivirenprogramms beschrieben. Allerdings enthält das veröffentlichte Dokument noch keinen Sourcecode. Dieser soll aber später über Spiegelserver angeboten werden, schreibt Dharmaraja. Gegenwärtig werde die Gruppe massiv von indischen und US-amerikanischen Regierungsbehörden unter Druck gesetzt, so die Hacker-Gruppe.

Inzwischen hat Symantec auf seinem Facebook-Profil bestätigt, dass es sich bei dem erbeuteten Sourcecode um Teile der Software Symantec Endpoint Protection 11.0 und Symantec Antivirus 10.2 handelt, die beide 2007 veröffentlicht wurden. Symantec Endpoint Protection ist der Nachfolger der Corporate Edition und wird immer noch unterstützt, während Norton Antivirus 10.2 eingestellt wurde.

Symantec betont, dass ihre eigenen Server nicht von dem Einbruch betroffen waren. Das Unternehmen werde den Einbruch und die Auswirkungen auf seine Kunden untersuchen und entsprechende Informationen veröffentlichen, sobald sie verfügbar sind.

Auf den Wettlauf zwischen Malware-Programmierern und Herstellern von Antivirensoftware würde die Veröffentlichung des Quellcodes der Software vermutlich keinen Einfluss haben, denn die meisten Algorithmen zum Aufspüren von Viren dürften bereits bekannt sein. Anwender könnten nur dann betroffen sein, wenn Entwickler bislang unentdeckte Lücken in der Antiviren-Software aufspüren und ausnutzen würden.

Quelle : www.golem.de

[SiLæncer]

Das IT-Sicherheitsunternehmen Symantec muss sich vor Gericht verantworten. Die Firma, die unter anderem die bekannten Norton-Sicherheitslösungen anbietet, wurde verklagt, weil sie Benutzer angeblich mit Hilfe irreführender Informationen über den Sicherheitsstatus ihrer Rechner zum Kauf teurer Software zu motivieren versucht.

Die Anklage gegen Symantec wurde durch James Gross aus dem US-Bundesstaat Washington erhoben. Gross legte am vergangenen Dienstag Klage vor dem Distriktsgericht von San Jose im US-Bundesstaat Kalifornien ein. Das teilten seine Anwälte mit. Die Anklage ist so aufgebaut, dass sie zu einer Sammelklage ausgeweitet werden kann und soll.

Nach Angaben der Nachrichtenagentur Reuters, der eine Kopie der Anklageschrift vorliegt, beschuldigt Gross Symantec, manipulierte Test-Versionen seiner Software zu verteilen. Betroffen sollen die Produkte "Norton Utilities", "PC Tools Registry Mechanic" und "PC Tools Performance Toolkit" sein. Diese, so der Vorwurf, scannten ein System und meldeten dann ausnahmslos schädliche Systemfehler, Datenschutz-Probleme oder andere Probleme, egal, in welchem Zustand das untersuchte System tatsächlich sei. Diese Taktiken sind seit Jahren aus der Cybercrime-Szene bekannt; dort werden entsprechende Angebote als "Scareware" (vom Englischen "to scare": "Angst einflößen") bezeichnet.

Symantec kommentierte die Anklage bislang nicht. Das Unternehmen ist mit Produkten wie "Norton 360", "Norton Internet Security" und "Norton AntiVirus" derzeit Marktführer im Bereich Anti-Virus-Software für Privatkunden. Im vergangenen Jahr nach Symantec insgesamt rund zwei Milliarden US-Dollar - etwa 1,56 Milliarden Euro - ein. Sollte die Anklage erfolgreich sein, würde dies dem Ruf des Unternehmens, und somit womöglich auch dessen Einnahmen, wahrscheinlich empfindlich schaden.

Quelle : www.gulli.com

[SiLæncer]

Im Falle der kürzlich gegen das IT-Sicherheitsunternehmen Symantec eingereichten Klage wegen angeblich unethischer Werbemethoden gibt es eine interessante neue Entwicklung: Indische Hacker, die kürzlich einen Teil des Symantec-Quellcodes unautorisiert in ihren Besitz brachten, boten dem Kläger nun ihre Hilfe an. Mit Hilfe des Codes wollen sie die Anschuldigungen gegen Symantec untermauern.

Der US-Bürger James Gross hatte Symantec am vergangenen Dienstag verklagt. Gross wirft dem Unternehmen vor, kostenlose Testversionen seiner Sicherheitssoftware zu verteilen, die, unabhängig vom tatsächlichen Zustand des Systems, stets Alarm schlagen. Durch diese an die bekannten "Scareware"-Betrugsszenarien erinnernden Taktiken sollen Internetnutzer zum Kauf von Symantec-Produkten bewegt werden, so Gross. Symantec bestreitet die Vorwürfe.

Nun schaltete sich eine unerwartete Seite in den Prozess ein: die "The Lords of Dharmaraja", eine Gruppe indischer Online-Krimineller. Diesen war es Anfang des Monats gelungen, Code-Bruchstücke einiger Symantec-Programme vom Server einer dritten Partei - womöglich eines indischen Geheimdienstes - zu kopieren (gulli:News berichtete). Symantec hatte den Einbruch bestätigt, dessen Bedeutung aber heruntergespielt. Unter den Programmen, deren Quellcode die Angreifer teilweise an sich bringen konnten, ist offenbar auch das Programm "Norton Utilities" in einer Version aus dem Jahr 2006 - eines der im laufenden Prozess diskutierten Programme.

Die "Lords of Dharmaraja" wollen Gross offenbar Schützenhilfe gegen Symantec leisten. Am gestrigen Freitag veröffentlichten sie insgesamt rund 13.000 Dateien, die angeblich zum Source-Code der fraglichen Norton-Version gehören. "Herr Gross, geben Sie [den Code] weiter an die Forensiker und gewinnen Sie den Prozess," schrieb ein unter dem Pseudonym "YamaTough" auftretender Sprecher der Gruppe auf dem Kurznachrichten-Dienst Twitter.

Bislang ist noch nicht klar, ob und wie der Norton-Quellcode tatsächlich dazu beitragen kann, Gross' Position zu untermauern. Jay Edelson, einer von Gross' Anwälten, sagte außerdem, er sei nicht glücklich über den Versuch der "Lords of Dharmaraja", ihnen Hilfe zu leisten. "Dies ist nichts, was wir für nötig halten, um unseren Fall zu untermauern, und wir unterstützen Hacking nicht," erklärte Edelson, "Wir sind kein Schurkenstaat, in dem es für Leute die einzige Hoffnung ist, die Dinge selbst in die Hand zu nehmen."

Quelle : www.gulli.com

[ritschibie]

Symantec (Logo)

Eine mutmaßlich indische Gruppe von Hacktivisten, die "Lords of Dharmaraja", prahlt derzeit mit der Tatsache, dass sie den Code einiger Sicherheitslösungen des Unternehmens Symantec in ihrem Besitz hat. Symantec revidierte nun seine Aussagen, wie es zum unautorisierten Kopieren des Codes durch die Hacktivisten kommen konnte.

Die "Lords of Dharmaraja" erbeuteten nach Angaben von Symantec-Sprecher Cris Paden den Quellcode von älteren Versionen der Symantec-Produkte Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack und pcAnywhere. Sie hatten zunächst nur kurze Ausschnitte des erbeuteten Quellcodes veröffentlicht. Später hatten sie den kompletten Code der Software "Norton Utilities" ins Netz gestellt, um bei einem laufenden Prozess gegen Symantec wegen angeblich fragwürdiger Werbe-Taktiken dem Kläger Schützenhilfe zu leisten (gulli:News berichtete). Die Hacktivisten hatten zunächst auch angekündigt, den Rest des Codes öffentlich zu machen. Am gestrigen Dienstag gaben sie jedoch bekannt, auf eine Veröffentlichung vorerst verzichten zu wollen und stattdessen lieber die Sicherheitslücken der Software für Angriffe auszunutzen (gulli:News berichtete).

Symantec revidierte nun seine Aussage darüber, wie es dazu kommen konnte, dass die "Lords of Dharmaraja" den Quellcode auslesen konnten. Zunächst hatte das Unternehmen erklärt, der Quellcode sei nicht aus dem Symantec-Netzwerk, sondern von den Servern einer dritten Partei kopiert worden. Diese Aussage revidierte ein Firmensprecher jedoch am gestrigen Dienstag, nachdem eine interne Untersuchung zu dem Ergebnis gekommen war, dass es eine Kompromittierung der Symantec-Infrastruktur gab. Der Einbruch, der sich durch Analyse alter Logdateien herausstellte, fand allem Anschein nach bereits 2006 statt. Es ist unklar, wieso der Fall nun, sechs Jahre später, an die Öffentlichkeit gerät. Ebenso ist bislang nicht bekannt, wie es 2006 zu dem Einbruch in Symantecs Netzwerk kommen konnte.

Paden erklärte, für Nutzer aktueller Symantec-Software bedeute der Angriff kein Sicherheitsrisiko. Lediglich Nutzer von pcAnywhere, das den Remote-Zugriff auf Computer erlaubt, müssten mit einem "leicht erhöhten Sicherheits-Risiko" rechnen, an dessen Minimierung das Unternehmen derzeit arbeite.

Andere Experten sind sich diesbezüglich allerdings nicht so sicher. So gab Laura DiDio, die für das Unternehmen ITIC als Analystin arbeitet und Unternehmen dabei hilft, Sicherheitssoftware zu evaluieren, zu bedenken, dass der Quellcode von Angreifern dazu genutzt werden könnte, herauszufinden, wie sich bestimmte Schutzmechanismen der Norton-Software umgehen lassen. Symantec versuche, das Risiko herunterzuspielen, sagte DiDio. Sie gehe aber davon aus, dass Teile des Quellcodes heute noch relevant seien. Somit bestehe das Risiko, dass Angreifer durch bessere Kenntnis der Software einen Vorteil erlangen. 

Quelle: www.gulli.com

[SiLæncer]

Obwohl Symantec Ende vergangener Woche vor 13 Android-Apps gewarnt hat, die mit einer bot-ähnlichen Malware infiziert seien, werden die Nutzer des hauseigenen Virenscanners Norton Mobile Security nach wie vor nicht vor der vermeintlichen Bedrohung geschützt.

Wir haben drei der aus Sicht von Symantec mit einem Trojaner infizierten Apps auf einem Testgerät installiert und anschließend einen Virenscan mit der Norton-App durchgeführt. Der Scan endete ohne Treffer: "Herzlichen Glückwunsch! Keine Malware oder Spyware gefunden.". Dies verwundert insbesondere in Anbetracht der Tatsache, dass Symantec die Apps in seinem Blog-Beitrag als bösartige Malware beschreibt, welche mit 1 bis 5 Millionen Infektionen der verbreitetste aller in diesem Jahr entdeckten Schädlinge sei – wohl bemerkt auf allen Plattformen.

Laut Symantec sind die Apps mit einem Schädling infiziert, der persönliche Informationen stiehlt und auf weitere Instruktionen wartet. Der "Trojaner" wurde kurzerhand auf den Namen Android.Counterclank getauft. Kurz darauf hagelte es Kritik vom Konkurrenten Lookout, der eine detaillierte Analyse der App veröffentlicht hat. Nach Ansicht von Lookout handele es sich bei den Apps um Adware. Dass normale Anwender die Adware-Aktivitäten nicht auf ihren Smartphones haben möchten, rechtfertigt nach Meinung von Lookout noch nicht die Einschätzung als Schadprogramm.

Auf unsere Beobachtungen angesprochen versuchte der Symantec-Sprecher die ursprüngliche Aussage zu relativieren: "Wir haben uns entschieden keine Erkennung für die genannten Apps über Norton Mobile Security durchzuführen, da es sich hier um eine typische Grauzone handelt. Wir sind zwar nach wie vor der Meinung, dass User diese Art von Funktionalität nicht ohne Ihr Wissen auf dem Handy haben wollen, aber da es sich auch nicht um einen typischen Schadcode handelt, werden wir diese Apps vorerst nicht entfernen".

Er fügte hinzu, dass Symantec jedoch bereits an einer Möglichkeit arbeite, die Nutzer in Zukunft über derartige Funde informieren zu können. Der Nutzer soll dann selbst entscheiden können, ob er die App behalten will. Bei den klassischen Virenscannern für PCs ist das längst gang und gäbe: Die Antivirenhersteller haben sich hier auf die Kategorie "Potentiell unerwünschte Software" geeinigt, die man vom Virenscan ausschließen kann.

Auf die Virenwarnung von Symantec antwortete Google, dass die Adware nicht gegen die Bedingungen des Android Market verstoße. Einige der von Symantec kritisierten Apps weisen in den Programmbeschreibungen sogar ausdrücklich auf die Werbemaßnahmen hin. Bislang wurden nur jede Apps aus dem Market entfernt, die sich die Namen bekannter Spiele wie Counterstrike zu eigen machten und damit die Markenrechte der Spiele-Publisher verletzten.

Quelle : www.heise.de

[SiLæncer]

Auf dem Torrent-Tracker The Pirate Bay wurde ein 1,3 GByte großes Rar-Archiv veröffentlicht, das den Quellcode der PC-Fernsteuersoftware pcAnywhere enthält. Symantec hat die Echtheit des Codes bereits bestätigt und ordnet den Diebstahl einem Zwischenfall im Jahr 2006 zu, bei dem sich Unbekannte Zugriff auf die Quellen diverser Symantec-Produkte verschaffen konnten.

Auch der Quellcode der Norton Utilities ist nach Angaben des Unternehmens bereits im Umlauf. Symantec rechnet damit, dass der Code von Norton Antivirus (Corporate Edition) und Norton Internet Security früher oder später ebenfalls ins Netz gestellt wird.

Für die Veröffentlichung ist vermutlich der Hacker Yamathough verantwortlich, der nach eigenen Angaben mit dem losen Hacktivisten-Kollektiv Anonymous sympathisiert. Zuvor waren Ausschnitte aus einem Mail-Austausch zwischen Yamathough und einem vermeintlichen Symantec-Mitarbeiter ins Netz gelangt.

Dabei ging es um die Zahlung von 50.000 US-Dollar an den Hacker, um die Veröffentlichung des Quellcodes zu verhindern. Um Erpressung sei es dem Hacker dabei jedoch nicht gegangen, wie er dem Nachrichtenmagazin Reuters sagte: "Wir haben sie dazu gebracht, uns Schmiergeld anzubieten, damit wir sie bloßstellen können.", so der Hacker. Welche Seite den Deal tatsächlich vorgeschlagen hat, ist derzeit unklar, da die veröffentlichten Mails nicht den Beginn der Verhandlungen enthalten.

Der angebliche Mitarbeiter mit dem Namen Sam Thomas gab vor, auf den Deal eingehen zu wollen und konnte den Hacker damit drei Wochen hinhalten. Gegenüber Forbes gab Symantec bekannt, dass hinter Sam Thomas die Ermittlungsbehörden steckten, die mit der Aktion die Identität des Hacker herausfinden wollten.

Symantec hat die gewonnene Zeit genutzt, um bekannte Sicherheitslücken zu patchen und die Kunden vor dem erhöhten Gefahrenlage zu warnen – letzteres allerdings erst, nachdem der Hacker erste Code-Schnippsel von Symantec-Produkten ins Netz gestellt hatte. Zwischenzeitlich hat das Unternehmen sogar ausdrücklich vom Einsatz von pcAnywhere abgeraten.

Quelle : www.heise.de

[SiLæncer]

Ein Signatur-Update führte zu Abstürzen von Windows-XP-Systemen mit Symantec Enpoint Protection, einer Sicherheits-Software die vor allem im Firmenumfeld zum Einsatz kommt. Aufgefallen war das Problem durch gehäufte Beschwerden von Anwendern und Administratoren beim Support und in Symantecs Foren.

Man könne das Problem reproduzieren, heißt es auf der Info-Seite; über die genaue Ursache der Abstürze lässt sich Symantec jedoch nicht aus. Immerhin schaffen mittlerweile aktualisierte Updates Abhilfe; Sofortmaßnahmen und Workarounds beschreibt der Hersteller im Support-Dokument SEP 12.1 Win XP Users Experiencing Blue Screen when running Proactive Threat Protection Definitions July 11th 2012 rev 11.

Quelle : www.heise.de