Este vorba de produsul Symantec Endpoint Security, al maretului, cunoscutului producator Symantec. Ce au facut Maria Lor programatorii de la Symantec? O greseala elementara(rusinoasa) in codare. Hai sa vedem cum s-a intamplat.

Dupa prea scurta vacanta de iarna :( am sosit la birou. Deschid calculatorul si fug sa-mi umplu cana de cafea. Cand ma intorc, un maret mesaj de la antivirus trona pe ecran. Ma informa ca nu e updatat. Hmmmmm, asa de la prima ora? Ma uit in consola de administrare, ultimul update 31 decembrie 2009. Ma gandesc ca o fi luat si Symantecul o pauza de Craciun si Anul Nou si s-a hotarat sa nu mai scoata noi definitii pentru virusi. Incep sa sune telefoanele, de la colegii mei alarmati cum ca ” au calculatorul virusat :) „. Ii lamuresc depre ce este vorba si incep sa cercetez problema. In cele din urma descopar pe forumul de la symantec: http://www.symantec.com/connect/forums/official-status-sepm-definitions-stay-31-12-2009-last-updated-04-jan-2010

Citesc in continuare forumul lor si descopar lucruri cel putin uimitoare pentru mine: serviciul lor de support nu stia de aceasta problema, nu a fost trimis niciun mail de atentionare, multe firme, nu din Romania, au avut probleme cu autentificarea in retea.

Problema? Elemetara. Foarte bine explicata de Paul Murgatroyd, Principal Regional Product Manager, Enterprise Security Group, Symantec:
„The fundamental issue is that we typically use a yyyYMMDDRRR format for content versioning and this format requires a integer compare if you are sorting. yyyY stands for a 2000-year.  So, 2009 => 9; 2010 => 10.  So 2/3/2010 daily version (rrr) of 45 would be represented with a sequence number of 100203045 since all of the other fields are zero padded.  Notice however that the same date in 2009 would be 90203045.  Doing an integer compare ensures that the 2010 defs is greater than the 2009 defs.
Our problem was that the code is one specific area did a string comparison for another reason (not necessarily wrongly coded).  Since the 2010 defs string compare in yyyY format is 10 and the 2009 defs is 9, a 1 is less than 9.  So, the 2010 defs are considered older.  It so happened that the code that did this string comparision was in the auto-aging out code.  So, we would download 2010 defs, determine they were older than what we already had (2009) and throw them away.” – copiat de pe forumul Symantec.

Rezolvarea? Pe 8 ianuarie 2010. A fost simplu, cu un patch care s-a instalat singur prin liveupdate. Dar timpul, 8 zile?…rusine Symantec, pentru timpul mare de raspuns, rusine pentru comunicarea ca si inexistenta.