Von der Sicherheitslücke betroffen sind laut Symantec-Advisory AppStream-Clients ab Version 5.2.x. Mit der Software lassen sich Desktop-Applikationen von einem zentralen Server aus verwalten, wobei lediglich die vom jeweiligen Nutzer benötigten Komponenten zur Verfügung gestellt werden. AppStream ist Bestandteil von Symantecs "Endpoint Virtualization Suite" (ehemals "Software Virtualization Solution Pro").
Die Schwachstelle liegt in dem ActiveX-Control "LaunchObj" der Software und ermöglicht Angreifern, beliebigen Code mit den Privilegien des Nutzers auszuführen - vorausgesetzt, dieser lässt sich dazu bewegen, ein manipuliertes HTML-Dokument anzusehen.
Zur Behebung des Problems hat Symantec ein Update bereit gestellt. Die Lücke wird als kritisch eingestuft, soll bislang allerdings noch nicht ausgenutzt worden sein. Das US-Cert schlägt vor, das fehlerhafte ActiveX-Control im Internet Explorer via Kill-Bit zu deaktivieren.
Symantec hatte AppStream im Frühsommer vergangenen Jahres übernommen, die Software des kalifornischen Unternehmens jedoch bereits seit 2006 verkauft.