Sikkerhedsfirmaet Symantec må indtil videre nøjes med at udsende en midlertidig løsning, som skal beskytte kunderne mod det sikkerhedshul, som har vist sig at eksistere i 63 forskellige Symantec-produkter.
Sikkerhedshullet findes i den komponent, Symantecs antivirussoftware benytter til at analysere filer komprimeret i RAR-formatet.
RAR er et populært pakkeprogram, som primært benyttes til distribution af store filer.
Antivirus-programmer er dog nødt til at kunne scanne pakkede filer, der ankommer via e-mail, da det ellers vil være muligt for en virusprogrammør at snige en virus forbi antivirusprogrammet på postserveren.
Hvis sikkerhedshullet i Symantecs software udnyttes af en virusprogrammør, vil han således kunne angribe eksempelvis en postserver ved at sende en særligt udformet RAR-fil vedhæftet en e-mail.
Symantec har endnu ikke frigivet en decideret rettelse af softwaren, men har derimod distribueret en særlig heuristisk metode til scanningssoftwaren, som skal gøre den i stand til at genkende forsøg på at udnytte sikkerhedshullet.
Heuristiske metoder er blevet en væsentlig del af mange antivirusprogrammer, fordi nye virusser ofte spredes i mange nye varianter og i et meget stort antal i første spambølge.
Derfor er der ikke tid til at opdatere slutbrugernes antivirussoftware med specifikke fingeraftryk for hver enkelt virus, før de ankommer til brugeren.
Derfor benytter antivirussoftware en række såkaldt heuristiske metoder til at genkende ondsindede programmer ud fra et komplekst regelsæt og analysemetode.
Symantec har frigivet den heuristiske RAR-metode via LiveUpdate og opfordrer kraftigt alle kunder til at opdatere deres software.
Der er dog endnu ikke rapporteret om nye virusser, der forsøger at udnytte sikkerhedshullet.
http://securityresponse.symantec.com/avcenter/security/Content/2005.12.21b.html