Lỗ hổng trong phiên bản 9 của sản phẩm AntiVirus Corporate Edition có thể làm lộ tên đăng nhập và mật khẩu vào máy chủ được sử dụng bởi quản trị viên có trách nhiệm cập nhật vào phần mềm.
Sản phẩm Antivirus ra mắt với phần mềm khách LiveUpdate có thể được đặt để kiểm tra các cập nhật mới cho sản phẩm. Sau khi Client nhận các cập nhật từ LiveUpdate Server, thông tin về giao dịch được lưu trong Log-file nội bộ.
Đăng nhập máy chủ LiveUpdate và mật khẩu có trong Log-file là dạng Cleartext. File có thể được truy cập đối với mọi người sử dụng trên hệ thống có nghĩa là các nhân viên trong doanh nghiệp có thể xem tên và mật khẩu đăng nhập. Điều nguy hiểm nhất là nếu tên và mật khẩu đăng nhập tương tự được sử dụng để truy cập vào các hệ thống doanh nghiệp khác quan trọng hơn.
Vấn đề này được phát hiện lần đầu tiên vào tuần trước. Symatec đã cho ra bản vá lỗi vào hôm thứ Sáu (2/9) và nó đã có trên mạng. Symatec khuyên các khách hàng tạo tên và mật khẩu đăng nhập riêng dành cho việc truy cập các dịch vụ LiveUpdate hơn là sử dụng đăng nhập quản trị tương tự dùng để truy cập hệ thống rộng hơn.
Hạnh Lê (Ptic.com)
Bình luận (0)