A SecurityFocus.com oldalain számoltak be a napokban a Symantec tűzfalat és virtuális magánhálózatot megvalósító (Firewall/VPN) termékével kapcsolatban arról, hogy az internetböngésző beállításaitól függően a rendszergazdai (administrator) jelszó rejtjelezés nélkül, szöveg (plain text) formájában kerülhet lementésre a böngésző vagy a proxy cache-ébe. Ez lehet akár a "Temporary Internet Files" könyvtár is Internet Explorer böngésző esetében Windows alatt.

Az érintett készülékek a következők:

• Symantec Firewall/VPN Appliance 100
• Symantec Firewall/VPN Appliance 200
• Symantec Firewall/VPN Appliance 200R

A biztonsági rést a Symantec maga közepesnek minősítette és megjegyzésként hozzáfűzte, hogy a sérülékenység mértéke nagyban függ a környezeti feltételektől.

A hiba a termék webes konfigurációs felületének rendszergazdai jelszavához kapcsolódik. A jelszó egyszerű megadásakor – például bejelentkezéskor – nincs gond, azonban annak megváltoztatásakor a HTML-kódba ágyazva kerül tárolásra az adott számítógépen az újonnan megadott jelszó is, a tárolt HTML-kódhoz pedig például egy megosztott számítógépnél akár mások is hozzáférhetnek.

A biztonsági rés befoltozásához a Symantec már elérhetővé tette a javításokat.

Szabó Áron (BME IK ITSec Csoport – IHM-együttműködés)