Det svenska bolaget Snow Software utvecklar mjukvara för licenshantering och mjukvaruoptimering och har vuxit mycket snabbt runt om i världen.

Mer än 4000 organisationer använder deras plattform, och här i Sverige har de kunder som Polisen, Försvarets materielverk, Försäkringskassan, och stora regioner och kommuner. I privat sektor har de kunder som Saab och flera storbanker och försäkringsbolag. Internationellt har Snow Software prestigekunder som Vodafone.

Computer Sweden kan nu avslöja att företaget i veckan gått ut och informerat sina partner om ett allvarligt säkerhetshål i sin mjukvara.

Säkerhetshålet gäller inventeringsagenten Snow Inventory Agent för Windows från och med version 5.3.1.

Hålet är kopplat till en tredjepartskomponent, CPUID, som används för att rapportera processortyper och versioner som körs i en it-miljö.

Risken beräknas till 8,3 av 10 möjliga på CVSS-skalan (the common vulnerability scoring system) vilket betecknar en hög svårighetsgrad. ”Givet det breda användandet av Snow Inventory Agent, så anser vi att det är viktigt för alla partners att arbeta tillsammans med sina kunder för att ordna en fix så snart som möjligt”, uppger de i meddelandet till sina partners.

Snow: Hålet verkar inte ha utnyttjats

Snow Software säger i en skriftlig kommentar till Computer Sweden på fredagen att företaget ”inte fått några rapporter eller indikationer som påvisar att denna sårbarhet skulle ha utnyttjats”.

Fredrik Arenhag, som är kvalitetsansvarig på Snow Software, säger att de blev uppmärksammade på sårbarheten genom sitt buggjägarprogram.

– Vår omedelbara åtgärd vid rapporteringen var att validera och bekräfta rapporten samt att identifiera en åtgärd och göra den tillgänglig till våra kunder.

Fredrik Arenhag uppger att de i Snow Inventory Agent for Windows använder en tredjepartskomponent vid namn CPUID och det är i och med användandet av den som sårbarheten introduceras.

– Sårbarheten, om utnyttjad, kan resultera i ett utökande av rättigheter på den dator som komponenten körs. Vår åtgärd består i att helt och hållet deaktivera denna tredjepartskomponent i vår mjukvara.

Arenhag fortsätter:

– Vi har ett nära samarbete med våra kunder och partner för att säkerställa att de är informerade om denna sårbarhet och hur vår åtgärd appliceras. Allt för att minimera den risk som våra kunder kan utsättas för. I en uppdatering framöver så kommer den aktuella tredjepartskomponenten helt elimineras ur vår mjukvara.

Läs även: Efter Solarwinds – hur ska vi kunna lita på våra säkerhetsverktyg?