賽門鐵克證實稱，其最流行的消費者安全軟件中存在一些安全漏洞，攻擊者利用這些安全漏洞能夠劫持賽門鐵克安全軟件要保護的用戶計算機。

這些安全漏洞存在于賽門鐵克的安全產(chǎn)品的一個ActiveX控件中。受影響的賽門鐵克產(chǎn)品包括諾頓防病毒軟件、諾頓網(wǎng)絡(luò)安全特警、諾頓電腦大師和諾頓360。

具有諷刺意味的是賽門鐵克分析師一方面稱ActiveX控件安全漏洞非常流行，另一方面在評論其它公司產(chǎn)品安全漏洞時敦促用戶謹慎對待ActiveX控件。

據(jù)iDefense稱，ActiveX控件“SymAData.dll”有兩個安全漏洞，攻擊者能夠通過引誘用戶訪問惡意網(wǎng)站使用當前用戶登錄權(quán)限利用這個安全漏洞執(zhí)行任意代碼。

賽門鐵克日前在自己的安全公告中證實了這些安全漏洞的存在。賽門鐵克稱，這個有安全漏洞的ActiveX控件是與Windows版本的諾頓防病毒軟件2006-2008、諾頓網(wǎng)絡(luò)安全特警2006-2008、諾頓電腦大師2006-2008和諾頓360 1.0版一起發(fā)布的。

賽門鐵克雖然承認了這些安全漏洞，但是，賽門鐵克卻說威脅并不嚴重，只有特別制作的網(wǎng)站才能成功地實施這種攻擊。賽門鐵克在安全公告中稱，要成功地利用這兩個安全漏洞中的任何一個安全漏洞，攻擊者必須要偽裝成可信賴的賽門鐵克網(wǎng)站，實施跨站腳本攻擊或者DNS中毒攻擊。

賽門鐵克表示，它到目前為止還不知道任何試圖利用這些安全漏洞實施攻擊的企圖。

這個有安全漏洞的ActiveX控件是賽門鐵克的AutoFix工具使用的。這個工具包含在賽門鐵克的許多軟件中，并且在與賽門鐵克技術(shù)支持代表實時聊天的時候會下載到用戶的PC中。AutoFix工具能夠診斷PC故障和提出解決方案。

賽門鐵克研究人員曾利用該公司的統(tǒng)計數(shù)據(jù)指出了廣泛傳播的ActiveX控件問題。例如，賽門鐵克安全反應(yīng)小組經(jīng)理Oliver Friedrichs今年2月稱，在他的團隊在2007年上半年跟蹤的瀏覽器插件安全漏洞中，ActiveX控件的安全漏洞占89%。

賽門鐵克和美國計算機應(yīng)急反應(yīng)小組以及其它一些安全廠商今年2月還敦促人們謹慎使用ActiveX控件。在那之前，其它軟件廠商的一些產(chǎn)品出現(xiàn)一批ActiveX控件安全漏洞。那些軟件廠商包括雅虎、Facebook和MySpace。

賽門鐵克使用新的檢測定義升級了受影響的消費者安全產(chǎn)品以封鎖任何利用ActiveX控件安全漏洞的企圖。但是，賽門鐵克將不采取自動修復(fù)每一個人的有漏洞的ActiveX控件的方法。

賽門鐵克稱，如果用戶參加賽門鐵克技術(shù)支持部門的在線聊天進程，更新版本的AutoFix工具將自動下載到用戶的PC。用戶還可以從賽門鐵克網(wǎng)站下載和安裝使用了補丁的AutoFix工具。

標簽： dns 安全 代碼 腳本 漏洞 權(quán)限 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。