Symantec heeft twee lekken gedicht, die het voor aanvallers mogelijk maakten om via een kwaadaardige rar-container een denial of service-aanval uit te voeren. De kwetsbaarheden waren aanwezig in een groot aantal beveiligingsproducten van het bedrijf, waaronder Norton-software.
Symantec schrijft dat de lekken, met kenmerken cve-2016-5310 en cve-2016-5309, een gematigd beveiligingsrisico met zich meebrengen. Dit komt voort uit het feit dat een aanvaller alleen een dos-aanval zou kunnen uitvoeren, waardoor de getroffen Symantec-software niet meer werkt. Google-onderzoeker Tavis Ormandy, die de lekken heeft ontdekt, laat echter via Twitter weten dat hij het niet eens is met de inschatting van Symantec. Volgens hem maken de lekken het op afstand uitvoeren van code mogelijk, waardoor deze als ernstig moeten worden beschouwd.
Ormandy stelt dat Symantec een zeer oude versie van de tool 'unrarsrc' in zijn producten heeft opgenomen en het heeft nagelaten om de software te updaten. In een inmiddels publiek geworden bericht op de Chromium-bugtracker schrijft Ormandy dat de verouderde versie van de software voor het uitpakken van bestanden veel verschillende openbare kwetsbaarheden bevat. Op dezelfde pagina stelt de beveiligingsonderzoeker ook twee proof of concepts beschikbaar in de vorm van twee zip-bestanden.
In juni had Ormandy andere ernstige lekken in Symantec-producten gevonden. Destijds beschreef hij dat de kwetsbaarheden in te zetten zijn door een slachtoffer bijvoorbeeld een kwaadaardig bestand toe te sturen. Omdat de Symantec-software e-mailbijlagen automatisch scant, zou infectie kunnen optreden zonder interactie van het slachtoffer. Symantec meldt in zijn bericht welke softwareproducten via Live Update worden bijgewerkt en welke een handmatige patch nodig hebben.