Theoretische Schwachstelle in NOD32 gemeldet

Entdeckte Schwachstelle kann Ausführen von Fremdcode ermöglichen

Jena, 23. Mai 2007 – Am 21. Mai wurde auf Securityfocus.com eine Information über einer Sicherheitslücke in NOD32 veröffentlicht. ESET dankt Ismael Briones, dem Entdecker des Exploits, ausdrücklich für seine Informationen.

Wir bewerten den Exploit als eher hypothetisch, unter Laborbedingungen ausnutzbar, aber praktisch ohne echte Relevanz. ESET ist bestrebt, immer eine optimale Produktqualität bereitzustellen und hat deshalb unabhängig von unserer Einschätzung des Gefährdungspotentials mit der Version 2.70.39 einen entsprechenden Bugfix vorgenommen.

Die Installationsmodule der deutschsprachigen Version 2.70.39 wurden getestet und zur Freigabe empfohlen. Sowie diese verfügbar werden, werden wir an dieser u. a. Stelle informieren.

Momentan werden durch ESET die für ein Versionsupgrade auf die Version 2.70.39 per Updatefunktion (PCU=Program Component Update) benötigten Pakete vorbereitet. Wir streben eine zeitnahe Freigabe an, werden aber - nach Abwägung aller Aspekte - auf noch auszuführende, ausreichend ausführliche Tests vor der Freigabe in keinem Fall verzichten. Auch hierzu werden wir an dieser u. a. Stelle geeignet informieren.

Bitte beachten Sie, dass wir uns für die hier dargestellte Vorgehensweise nach gründlicher Abwägung insbesondere zwischen dem realen Gefährdungspotential und der Sicherung der Qualität unserer Produkte entschieden haben. Vor diesem Hintergrund empfehlen wir unseren Anwendern mit komplexeren Einsatzumgebungen, vor dem Ausrollen der Version 2.70.39 keinesfalls auf die üblichen Tests im Rahmen der hausinternen Qualitätssicherungsmaßnahmen zu verzichten.