Web

 

Symantec torpediert Sicherheit mit fehlerhaftem Active-X-Script

25.06.2003

MÜNCHEN (COMPUTERWOCHE) - Der Anbieter von Sicherheitssoftware Symantec räumte ein, im Rahmen seines Online Security Check mit einem fehlerhaften ActiveX-Script gearbeitet zu haben. Symantec-Kunden können ihre Rechner online auf potenzielle Sicherheitslücken prüfen lassen. Dazu wird ein Script von der Website des Security-Spezialisten heruntergeladen, das den Sicherheitsstatus des jeweiligen Rechners aufnimmt und auf mögliche Gefahren hinweist. Die entsprechenden Active-X-Komponenten heißen "Symantec RuFSI Utility Class" oder "Symantec RuFSI Registry Information Class". Beide Scripte verbleiben nach dem Sicherheits-Scan auf den Rechnern und könnten dort Hackern den Zugang zu den Systemen erlauben, warnt das Unternehmen. Mittlerweile seien die fehlerhaften Scripte ausgetauscht, berichten die Verantwortlichen. Nutzer, die in letzter Zeit den Security Check genutzt hätten, sollten den Vorgang wiederholen. Dabei

würden die alten Scripte mit fehlerfreien Active-X-Komponenten überschrieben und damit die Sicherheitslücke geschlossen. Künftig will Symantec seine Sicherheitsprüfung via Netz mit einem Tool ergänzen, das den Nutzern erlaubt, nach Abschluss des Tests alle dafür notwendigen Scripte auf dem eigenen Rechner zu löschen. Damit sei die Gefahr allerdings noch nicht vorbei, warnt Chris Wysopal, Sicherheitsexperte bei @Stake. Hacker könnten versuchen, das Script, das nach wie vor auf zahlreichen Rechnern liegt, abzugreifen und für die eigenen Einbruchsversuche zu missbrauchen. (ba)