Parsing-jungle gør antivirusprogrammer sårbare

Antivirussoftware skal kunne opdage virus gemt bag et stadig større antal formater og sløringer. Det har gjort programmerne mere sårbare.

Antivirussoftware står nok overraskende for mange højt på listen over programmer, der udgør en sikkerhedsrisiko. Det skyldes, at antivirus ofte indeholder alvorlige sikkerhedshuller, der kan udnyttes til at inficere det system, softwaren skulle beskytte.

Det tyske it-konsulentfirma N.runs har på blot én måned fundet omkring 800 sårbarheder i forskellige antivirusprogrammer.

Langt størstedelen findes i forbindelse med parsing af filer, som naturligt nok er en central del af antivirusprogrammerne.

Problemet er, at når både antallet af varianter af ondsindede programmer vokser og antallet af formater, der bruges i angrebene, samtidig også stiger, så øger det kraftigt risikoen for, at der bliver introduceret svagheder i den kode, der skal analysere filerne.

For blot få år siden blev de fleste virus distribueret som eksekverbare filer eller som makroer i nogle få dokumentformater. I dag skal antivirusprogrammer beskytte mod ondsindet kode i både videoformater, pakkede filer og en lang række andre formater.

Det betyder, at der er mere parsing-kode, der skal vedligeholdes for at undgå alvorlige sårbarheder.

Sårbarheder i antivirus er alvorligt, fordi det kan udnyttes til at lade ondsindet kode slippe forbi forsvarsværkerne. Derfor er det en god idé på især gateway-niveau at benytte en opsætning, hvor man bruger mere end ét antivirusprogram.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Troels Arvin

Mark: Men så antager du, at AV-programmerne er parallelforbundne og i øvrigt ikke er i stand til at modificere mails undervejs. I modsat fald vil risiko for problemer være proportional med antallet af AV-programmer som anvendes.

Med problemer frygter jeg fx:

  • Afvikling af vilkårlig kode (man må håbe, at AV køres som en upriviligeret bruger i en effektiv "gummicelle").

  • Denial-of-service, fx ved at danne prop i mail-strømmen eller ved at AV-software'en bringes til at forbruge al den CPU og I/O den kan komme i nærheden af.

  • At korrumperet AV-software begynder at CC'e mails til 3. part, hvorefter 3. part kan lytte med.

  • 0
  • 0
Log ind eller Opret konto for at kommentere