Så er den igen gal med den interne sikkerhed hos sikkerhedsselskabet Symantec, der så sent som i slutningen af november selv blev ramt af en alvorlig sikkerhedsbrist.
"Og det er kritisk," lyder det fra en sikkerhedsekspert.
Rammer central komponent
"Sikkerhedsproblemet rammer en central komponent, der anvendes i en hel vifte af Symantec Veritas-produkter. Den sårbare komponent hedder VRTSweb, og bruges blandt andet af systemadministratorer, som skal tilgå en server, der bruges til administrative opgaver som backup," fortæller Peter Kruse fra sikkerhedsfirmaet CSIS.
Det betyder, at man ofte kan få adgang til flere af maskinerne i det bagved-liggende netværk, hvis man først er kommet igennem til serveren.
"En hacker kan begå sig med systemrettigheder, hvilke typisk er nok til at kompromittere systemet fuldt og helt. Denne fejl er ikke et hovsa, det er et gisp," siger Peter Kruse.
Og det er ikke første gang, der har været problemer på denne front.
"Der har været mange fejl på denne produktpakke tidligere," fortæller Peter Kruse.
Anden store fejl på en måned
Symantec havde for mindre end en måned et andet sikkerhedsproblem, hvor en hacker fik direkte hul igennem til indholdet af databaser samt passwords og brugernavne på både ansatte i Symantec og brugere af firmaets web-butik i Asien.
Her kunne Computerworld således fortælle om en pivåben Symantec-server.
Symantec er ellers et af verdens største sikkerhedsfirmaer med over 17.500 medarbejdere i mere end 40 lande, så der burde være styr på hjemmefrontens sikkerhed.
"Det er svært at forstå, at dette problem først bliver opdaget nu. Det ser ud til at have eksisteret i over et år. Det burde være en del af udviklingsprocessen, at koden valideres - ikke mindst når man er et sikkerhedshus," siger Peter Kruse.
Symantec: Software er aldrig 100 procent sikker
Symantec erkender blankt, at der er et problem, som er kritisk.
"Vi har ganske rigtig en sårbarhed, der giver mulighed for at afvikle ondsindet kode med administrative rettigheder. Det er en alvorlig sårbarhed, og den skal rettes hurtigst muligt," siger Ken Willén, der er sikkerhedsekspert hos Symantec Danmark.
"Det er ligeledes korrekt, at fejlen går et stykke tilbage i tiden," siger han.
Det er mindre end en måned siden, der sidst var problemer med jeres sikkerhed. Gør I det godt nok?
"Software er aldrig 100 procent sikker, og vi bliver desværre også ramt. Men det er korrekt, at vi har en ekstra forpligtigelse som sikkerhedsleverandør. Det ansvar tager vi meget alvorligt," siger Ken Willén.
"Det giver ekstra ridser i lakken, når det går galt, men vi retter fejlene så hurtigt, som vi overhovedet kan, hvilket bør genskabe troværdigheden."
"Jeg synes nu også, at vi generelt gør et fantastisk stykke sikkerhedsarbejde," siger han.
Der er rettelser og workarounds, der lukker problemet.
De kan findes på Symantecs oplysningsside: Security Advisory SYM09-017 with Symantec Veritas products that contain the VRTSweb component.
