许多反病毒产品都充满了安全漏洞

防病毒产品提高计算机的攻击面，甚至可能会降低操作系统的保护，安全研究人员声称 

它普遍认为反病毒软件提供了必要的保护层，但机构在其系统上部署它们，因为其中许多含有严重漏洞前，应审核此类产品，研究员警告。 

据Joxean Koret之后，研究员在新加坡的安全公司Coseinc，防病毒程序都一样，容易受到攻击，因为他们要保护和揭露了大量的攻击面，可以使电脑更容易的应用程序。 

Koret之后花了一年分析防病毒产品及其发动机在工作之余，并声称已经发现了几十个远程和本地利用的漏洞在他们14。该漏洞由拒绝服务的问题，以不等的缺陷，使潜在的攻击者提升权限的系统或执行任意代码。有些错误是位于杀毒引擎 - 反病毒产品的核心部件 - 和一些其他各种部件。 

Koret之后本月早些时候提交了他的研究结果在SysScan360安全会议。 

“开拓AV引擎是不是不同的，以开发其他客户端应用程序”，在他的演讲幻灯片研究员说。他们不使用任何特殊的自我保护和依靠反剥削的技术如ASLR（地址空间布局随机化）和DEP（数据执行保护）操作系统;有时他们甚至禁用这些功能，他说。 

因为杀毒引擎通常具有最高的系统权限运行可能，他们利用漏洞会为攻击者提供了超级用户或系统访问，Koret之后说。他们的攻击面是非常大的，因为他们必须支持的文件格式和文件格式分析器一个长长的清单通常有缺陷，他说。 

据研究者，另一个问题是，一些防病毒产品不进行数字签名的更新，并且不使用加密的HTTPS连接来下载，这使得人在这方面的中间人攻击者自己的恶意文件注入到交通这将得到执行。 

在他SysScan谈话，Koret之后披露的漏洞和其他一些安全问题，如缺乏某些成分ASLR保护，从熊猫安全下，BitDefender，卡巴斯基实验室，ESET，Sophos的，科摩多，AVG的Ikarus安全软件，医生网络防病毒产品，微观世界技术，噶，Fortinet公司和ClamAV的。不过，他也声称有在Avira，Avast的F-PROT和F-Secure的反病毒产品中发现的漏洞。 

Koret之后没有报告他发现所有受影响的供应商的问题，因为他认为厂商应该审核自己的产品和运行错误赏金计划，以吸引独立研究。他的一些其他建议厂商包括使用的编程语言“更安全”比C和C+ +，没有使用最高权限可以解析网络数据包和文件时，因为“用C / C文件解析器+ +代码是非常危险的，”运行有潜在危险的代码在仿真器或沙箱中，使用SSL和数字签名更新和删除的，尚未触及岁非常威胁的代码。 

研究者在他的演讲幻灯片证实了一些漏洞，他发现已经被修复。 

独立Koret之后的分析中，研究人员从进攻保安最近发现赛门铁克的端点保护产品3特权提升漏洞。该漏洞可以通过有限权限的本地用户可以利用获得完整的系统访问权限。赛门铁克目前正在调查中的缺陷。 

“我不会去的程度，说杀毒软件是没有意义的，因为我们知道，用户还爱点击并安装的东西，许多网络受到损害这种方式，”卡斯滕Eiram，首席研究官安全情报说公司基于风险的安全性和长期脆弱性研究。 “然而，系统管理员应谨慎选择哪个安全产品，他们买的，以及哪些功能已启用 - 特别是当它涉及到的内容检查所有的文件格式解析器已经一次又一次地证明，多年来是宝库给攻击者。 “

Eiram说，虽然他没有参加Koret之后的谈话，他看了看幻灯片和研究似乎是固体。 

“添加一个巨大的攻击面，这经常发生在安装反病毒软件或其它安全软件时，在试图使系统/网络的更安全的不增加整体的安全性，”Eiram所述。 “我同意，它通常会降低它。”

防病毒产品有安全漏洞的事实也许并不奇怪，以安全研究人员，但很多普通用户可能认为安全的产品本质上是安全的。毕竟，它期望从公司显然熟悉的漏洞代码的风险和针对该漏洞在其他软件中的漏洞攻击防护卖出好的编码实践和扎实的安全开发生命周期是公平的。 

这个问题，但是，伸出的防病毒程序。本·威廉姆斯，渗透测试与NCC组，分析安全设备，包括电子邮件和Web安全网关，防火墙，远程访问服务器和UTM（统一威胁管理）系统，从2012年领先厂商，并得出结论，他们大多缺乏维修的Linux运行不安全的Web应用系统。 

“虽然我们尽一切可能，确保产品无故障，遗憾的是没有软件是完美的，”某款ESET代表通过电子邮件回应有关Koret之后的研究调查说。该公司联络Koret之后经过研究人员在推特上他的一些结论在3月1日固定，他在不到三天的时间发现问题，该代表说。 “中Eset总是欢迎研究者谁遵循的错误和问题负责任的披露程序。”

过Bitdefender代表通过电子邮件表示，该公司还固定在其发布日Koret之后的演示幻灯片披露的问题。不过，该公司没有持有错误的完整列表，研究人员声称已发现并不能肯定它已经修复了所有这些，或者如果他们甚至可重现的。 

“自公布以来，我们也进行了内部审计的代码，修正了一些其他的错误，并进行了更改，我们的建设和质量保证[品质保证]过程应导致远坚固的代码，并防止类似的情况在未来”BitDefender的代表说。 

这是在Koret之后的表现，也就是没有ASLR技术的某些成分和拒绝服务攻击的一个潜在的问题，在扫描嵌套压缩文件时，概述了卡巴斯基实验室的反病毒产品的问题，是不是公司的客户的安全保护，卡巴斯基关键代表通过电子邮件说。在编写时没有ASLR的软件是不是暗示更容易受到攻击，但卡巴斯基实验室加入ASLR技术的产品组件，缺少了它 - vlns.kdl和avzkrnl.dll - Koret之后的介绍后，他说。 

存档问题，即扫描3MB二级7-Zip文件的据称可产生32GB的转储文件无法验证或反驳，因为该公司尚未收到使用的研究方法的详细说明。