赛门铁克承认其产品存漏洞 可劫持用户PC

赛门铁克证实称，其最流行的消费者安全软件中存在一些安全漏洞，攻击者利用这些安全漏洞能够劫持赛门铁克安全软件要保护的用户计算机。

这些安全漏洞存在于赛门铁克的安全产品的一个ActiveX控件中。受影响的赛门铁克产品包括诺顿防病毒软件、诺顿网络安全特警、诺顿电脑大师和诺顿360。

具有讽刺意味的是赛门铁克分析师一方面称ActiveX控件安全漏洞非常流行，另一方面在评论其它公司产品安全漏洞时敦促用户谨慎对待ActiveX控件。

据iDefense称，ActiveX控件“SymAData.dll”有两个安全漏洞，攻击者能够通过引诱用户访问恶意网站使用当前用户登录权限利用这个安全漏洞执行任意代码。

赛门铁克日前在自己的安全公告中证实了这些安全漏洞的存在。赛门铁克称，这个有安全漏洞的ActiveX控件是与Windows版本的诺顿防病毒软件2006-2008、诺顿网络安全特警2006-2008、诺顿电脑大师2006-2008和诺顿360 1.0版一起发布的。

赛门铁克虽然承认了这些安全漏洞，但是，赛门铁克却说威胁并不严重，只有特别制作的网站才能成功地实施这种攻击。赛门铁克在安全公告中称，要成功地利用这两个安全漏洞中的任何一个安全漏洞，攻击者必须要伪装成可信赖的赛门铁克网站，实施跨站脚本攻击或者DNS中毒攻击。

赛门铁克表示，它到目前为止还不知道任何试图利用这些安全漏洞实施攻击的企图。

这个有安全漏洞的ActiveX控件是赛门铁克的AutoFix工具使用的。这个工具包含在赛门铁克的许多软件中，并且在与赛门铁克技术支持代表实时聊天的时候会下载到用户的PC中。AutoFix工具能够诊断PC故障和提出解决方案。

赛门铁克研究人员曾利用该公司的统计数据指出了广泛传播的ActiveX控件问题。例如，赛门铁克安全反应小组经理Oliver Friedrichs今年2月称，在他的团队在2007年上半年跟踪的浏览器插件安全漏洞中，ActiveX控件的安全漏洞占89%。

赛门铁克和美国计算机应急反应小组以及其它一些安全厂商今年2月还敦促人们谨慎使用ActiveX控件。在那之前，其它软件厂商的一些产品出现一批ActiveX控件安全漏洞。那些软件厂商包括雅虎、Facebook和MySpace。

赛门铁克使用新的检测定义升级了受影响的消费者安全产品以封锁任何利用ActiveX控件安全漏洞的企图。但是，赛门铁克将不采取自动修复每一个人的有漏洞的ActiveX控件的方法。

赛门铁克称，如果用户参加赛门铁克技术支持部门的在线聊天进程，更新版本的AutoFix工具将自动下载到用户的PC。用户还可以从赛门铁克网站下载和安装使用了补丁的AutoFix工具。