米Symantecは,企業向けウイルス対策ソフトウェア「AntiVirus Corporate Edition 9.0」で見つかったセキュリティ問題の修正パッチを同社のWebサイトから提供を開始した。同社が米国時間9月2日に発表した。問題が報告されたのは,LiveUpdate Clientのバージョン2.7,ビルド34。

 この問題は,ソフトウエアのセキュリティ問題を扱うメーリング・リスト「Bugtraq」への投稿で8月31日に明らかになったもの。Symantec社は,リスク評価を「中」程度としている。

 問題となったAntiVirus Corporate Edition 9.0では,製品のアップデートがチェックできるLiveUpdate Clientが付属している。クライアントがローカルのLiveUpdateサーバーからアップデートを受信すると,トランザクション情報はローカルのログ・ファイルにクリア・テキストで保存される。ログ・ファイルには,管理者が利用するLiveUpdateサーバーのログイン名,パスワードも書き込まれている。

 このログ・ファイルには,システム上のすべてのユーザーがアクセスできるため,企業の全従業員がLiveUpdateサーバーのログイン名とパスワードを見ることができる。そのため,より重要な企業システムに同じログイン名とパスワードが利用されている場合には,これらのシステムにアクセスできてしまう恐れがあった。

◎関連記事
米Symantecの約30製品にスキャニング・エンジンの脆弱性,米ISSが警告
「Office 2003/XP SP3などのユーザーは影響を受けない」---IEの脆弱性について米MSが追加情報
「Windowsの脆弱性を突くワームが続出,メールで感染を広げるものも」--IPA
米eEyeがMicrosoft製品の脆弱性を再び発見,パッチ未公開が合計6件に

発表資料へ