文/董小波　出处：IT.com.cn(IT世界网)

         如今我们用来保护自己免遭在线攻击的软件是否已经成为一项隐患？由于反病毒软件中的BUG，安全套件自身已经成为一项安全风险，并且，安装多款安全软件将会使问题更加糟糕。

　　在过去的两年里，咨询公司n.runs AG安全工程师赛尔瑞·祖勒在仔细观察了反病毒软件检查电子邮件通信的方式之后表示，他认为那些试图通过一款以上的反病毒引擎检查数据以提高安全的公司，事实上可能只会让事情变得更糟糕。为什么？因为被用来检查不同文件格式的“语法分析程序”软件中存在的BUG可以很轻易就被攻击者所利用，因此增加对反病毒软件的使用，只会增加你被攻击者成功攻击的可能性。



反病毒软件成计算安全新隐患

　　反病毒软件必须打开和价差数百种格式文件中的数据。软件中存在的任一BUG都可能导致一个严重安全缺口的出现。

　　祖勒和他的同事瑟吉奥·奥瓦兹在过去两年里一直在深入研究这个问题，他们已经在反病毒引擎中发现了超过80个语法分析程序BUG，并且其中大多数BUG尚未得到修补。

　　祖勒说，他们所发现的问题涉及所有主流反病毒厂商，并且其中许多产品允许攻击者在受影响系统上运行未认证代码。

　　他说：“人们认为，一个接一个安装反病毒软件就是所谓的‘深度防御’。他们认为，如果一款引擎不能查获蠕虫，那么其他引擎就可以。而事实确实，你并没有缩小的被攻击面——恰恰相反，由于没款反病毒引擎都存在BUG，从而导致被攻击面增大。”

　　虽然多年来攻击者已经在浏览器利用语法解析程序BUG，并且频有成功案件，但祖勒认为，由于反病毒软件无处不在，并且以比浏览器更高的管理权限运行，因此这些问题在未来将引发更严重的问题。

　　近些年对“fuzzing”软件关注度的提高，对语法解析程序BUG的研究起到了很好的推波助澜的作用。所谓“fuzzing”，就是研究人员向软件提交大量畸形数据，以观察目标软件能够出现崩溃。这通常是在一台目标机器上发现运行未认证软件方式的第一步。

　　日前，苹果iPhone手机中所使用的Safari浏览器在处理.tiff图片文件时遇到了解析BUG，从而使攻击者可以顺利绕过苹果对iPhone运行第三方软件的严格限制。

　　祖勒说，由于触及到了“IT安全界的敏感点”，他遭到了安全界其他同行的指责。但他相信，通过将这个问题推到前台，整个行业将被迫解决这个非常现实的安全问题。

　　在2002年到2005年之间，反病毒按软件中发现的漏洞近一半都可以被远程利用，这意味着黑客可以从互联网上任何地方发起攻击。祖勒称，如今这一比例已经接近80%。

　　祖勒的公司在这里发现了一个商业基于。位于德国上乌瑟尔市的n.runs公司正在开发一款代号为“ParsingSafe”的产品，这款产品将帮助反病毒软件免受已经证实的各种解析攻击。

　　Verizon Business公司高级科学家诺斯·库柏对于n.runs的做法颇有意见。“这项研究几乎等同于刺激犯罪分子在攻击漏洞方面‘更加完善’……可以说这项研究毫无裨益，”他说。“毫无疑问，他们已经公布的安全产品中的漏洞让人看起来心畏。然而，从历史的观点来说，我们并未发现利用这种漏洞被利用的案例。”

　　虽然库柏认同反病毒文件解析漏洞将带来安全风险的观点，但他表示，这些漏洞之所谓为成为普通犯罪攻击的焦点，存在多方面原因。原因之一就是，犯罪分子已经拥有更加对其战略足够有效的攻击方式，比如发送恶意电子邮件附件。另外一个原因就是，安全软件往往是获得更多细心审查，这意味着任何被利用漏洞将得到快速修补，并且任何与漏洞利用相关的犯罪分子更容易被抓获。

　　eEye数字安全公司CTO马克·麦弗雷特说，安全厂商早已知道他们软件中存在的漏洞。“安全软件和任何其他软件一样，都是存在漏洞的。我们都雇佣了相同的开发者——他们与微软开发人员念相同的大学，并染上了相同的坏习惯。”