Обнаружена уязвимость в Symantec Scan Engine
В начале недели компания Symantec объявила об обнаружении трех уязвимостей в своем программируемом интерфейсе Scan Engine, позволяющем сторонними производителям внедрять возможности сканирования на наличие вирусов в их программные продукты. Эти "дыры" была классифицированы как уязвимости "средней опасности".
В первом случае проблема заключается в аутентификации web-логинов. "Каждый, кто хорошо разбирается в механизме коммуникации, может управлять сервером Scan Engine", говорится в заявлении распространенном компанией. К тому же, как отмечают специалисты Symantec, ключи DSA используемые для SSL коммуникаций с легкостью извлекаются. Из-за третьей уязвимости, позволяющей через обычные или специально созданные HTTP запросы легко получать доступ к информации, удаленные пользователи могут также загружать любые файлы в установочной директории программы.
Symantec уже оговорилась, что все вышеописанные уязвимости касаются лишь Scan Engine и не затрагивают ее настольные приложения. Пользователям же настоятельно рекомендуется установить Symantec Scan Engine 5.1 с тем, чтобы решить данные проблемы. При этом отмечается, что пока не было зафиксировано ни одного случая использования злоумышленниками этих уязвимостей.
В первом случае проблема заключается в аутентификации web-логинов. "Каждый, кто хорошо разбирается в механизме коммуникации, может управлять сервером Scan Engine", говорится в заявлении распространенном компанией. К тому же, как отмечают специалисты Symantec, ключи DSA используемые для SSL коммуникаций с легкостью извлекаются. Из-за третьей уязвимости, позволяющей через обычные или специально созданные HTTP запросы легко получать доступ к информации, удаленные пользователи могут также загружать любые файлы в установочной директории программы.
Symantec уже оговорилась, что все вышеописанные уязвимости касаются лишь Scan Engine и не затрагивают ее настольные приложения. Пользователям же настоятельно рекомендуется установить Symantec Scan Engine 5.1 с тем, чтобы решить данные проблемы. При этом отмечается, что пока не было зафиксировано ни одного случая использования злоумышленниками этих уязвимостей.
Ещё новости по теме:
18:20