SymantecのNorton Internet SecurityとNorton AntiSpamにWebサイトやHTMLメールを閲覧する事で任意のコードを実行を許す危険性のある欠陥が公表されている。やはりHTMLメールはダメダメだ。
なおhttp://www.symantec.co.jp/region/jp/sarcj/security/content/2004.03.19.html によると
改編履歴となっており、修正パッチにも問題が見つかった模様。しかし4月19日ってあまりにも遅過ぎ。
2004年3月23日(火) 15:22 [日本時間]
修正パッチの提供を「LiveUpdate を通じてダウンロード可能」から「開発中」に変更致しました。
2004年3月23日(火) 19:01 [日本時間]
Symantec Norton Internet Security 2004/Professional for Windows の修正パッチは 2004年4月8日(木)に、 Symantec Norton AntiSpam 2004 の修正パッチは 2004年4月19日(月)に LiveUpdate を通じてご提供させて頂く予定です。
そもそもの欠陥は目をつぶるとしても、「提供中」とされたパッチのステータスを「開発中」と変更するのはもっと深刻な問題ではないだろうか。トップページに「Microsoft Outlookのアドバイザリー」はあるものの、シマンテック製品関連のアドバイザリーには一切触れられていないし、探し出した肝心のアドバイザリーに回避策の案内すら無いようでは全くもって役に立たない。
「提供中」にLiveUpdateをしたユーザーはどうすれば良いのか? 信頼を最大の売りにしているセキュリティベンダーのSymantecとしては致命的な失態と思える。
【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┣京都府警、ファイル交換ソフト「Winny」ユーザー2名を逮捕 2003年11月27日
┗Symantec Norton Internet Securityに任意のコードが実行できる脆弱性 2004年3月23日
●Symantec Security Response http://www.symantec.co.jp/region/jp/sarcj/
┗Symantec Norton Internet Security/Norton AntiSpam にリモートアクセスの脆弱性 2004年3月19日