アンチウイルスソフトウェアの脆弱性

Breaking av software 市場に出回っているアンチウイルスソフトウェアの脆弱性についての研究発表のスライド資料が公開されている。 アンチウイルスソフトウェアは、セキュリティ向上のために重要だという意見があるが、このスライド著者は疑問を投げかけている。そもそも、ソフトウェアの追加は、攻撃できる箇所が増えるということだ。アンチウイルスソフトウェアは果たしてセキュアに作られているのか。 特に、多くのアンチウイルスソフトウェアは、カーネルドライバーを使ったりしている。もし脆弱性があればとんでもないことだ。 アンチウイルスソフトウェアの攻撃手段としては、細工されたファイルフォーマットをスキャンさせる事が大半だ。アンチウイルスソフトウェアは、様々なフォーマットのファイルをパースする必要がある。もし、そのパーサーにバッファーオーバーフローなどの不具合があれば任意のコードを実行させることが

[netnotora]

なんかあったときに「やるべきことはやってました」という建前のために入れてる．

[trini]

Adobeでソフトアップデートするときマカフィーをデフォでインストールする仕様やめて欲しい

[bouzuya]

ぼくはもうずっと個人的な範囲ではウィルス対策ソフト使ってない。消費するリソースとリターンとのバランスが悪すぎるんだよね。

[jugemx]

そうは言われましても

[UDONCHAN]

確かに昔のWindowsみたいになんでもrootに近い権限でソフトを動作させるわけじゃなくなってきてるけれど。問題として、結局ユーザの操作に脆弱性が残るわけで、なんらかのフールプルーフは必要な気がする。

[hasegawayosuke]

あらゆる脆弱性を詰め込んだこういうアンチウイルスソフトとか→http://jvn.jp/vu/JVNVU662243/index.html

[abyssgate]

ドアの鍵に脆弱性があるかもしれないからって付けないわけにはいかないんだよなあ。実際役に立つことも頻度は少ないながらもあるし。以前のCDN汚染だかのときも検知してブロックしてくれた

[TakamoriTarou]

問題のあるセキュリティソフトは逆効果という認識広がってほしい。未だ検出率xx%みたいな古い評価ばかり出回ってて、古いウイルスの検出コードが入ってるのはベンチマークが含んでるからではないかと推測してる

[htnmiki]

どうすればいいんだ……

[kachine]

だが、アンチウィルスの脆弱性を突いた攻撃なんてほとんど聞いたことない。昔あったアンチウィルスメーカーが製品買わせる為にウィルス作ってるとかいう都市伝説が出回るのも仕方ないかも。

[RMS-099]

「アップデートファイルは署名されていない」「システムのすべてのプロセスにASLRが無効化されたDLLを注入」「ファイルのパースやネットワークパケットの検証がroot権限で行われている」

[naga_sawa]

アンチウイルススキャナそれ自体が穴を作ってるという話/システムの深いところに手をつっこんでるのでさもありなん/とはいえノーガード戦略取れるほど面の皮厚くないしでどうしよう

[ooblog]

「パーサーにバッファーオーバーフローなどの不具合があれば任意のコードを」「もはや誰も使っていないファイルフォーマット用のチェックは、現代においては不必要で」リッチテキストが脳裏を。

[sawarabi0130]

最近はファイアウォールやブラウザにNoScriptやScriptSafe入れたり広告ブロックする方が重要かもなあ。それでも漏れた場合の保険で入れる感じで。

[decoy2004]

59件のコメント http://t.co/xClMXzIfdr “本の虫: アンチウイルスソフトウェアの脆弱性”

[georgew]

無駄にリソース圧迫するので私もアンチウイルスはとっくに卒業済み。

[mapk0y]

今はほとんど無いとは言ってもそろそろ出てくるかもねってことかな。アンチウィルスソフトは家の鍵とは違う気がするけど...。家の鍵を監視するシステム入れたら外から家が開くようになってたって感じかな。（適当

[todesking]

こわい話だ

[sds-page]

ウイルスじゃないけどウイルスバスターに勝手にレジストリ削除された思い出が

[oasis440]

“ASLR”

[tsupo]

多くのアンチウイルスソフトウェアは、ASLRを無効にしている / システムのすべてのプロセスにASLRが無効化されたDLLを注入する

[monochrome_K2]

実装については見直して欲しいけど実際にマルウェアの繁殖を防いでくれているし役に立っている。現状Androidは必須だしMacにも入れているし確かに免罪符の意味もあるだろうけどなくすのはまだ早計だと思う

[atrandom2520]

クライアントのアンチウィルスソフトであれば、ぶっちゃけ自分が影響しないソフトのチェックはしなくていいんだけどね。「他人の迷惑になる可能性がある」ってのはわかるけど。サーバーはまた別。

[gogatsu26]

しかし出所不明の添付ファイル開いちゃう人まだまだいっぱいいるし

[zakinco]

これはヤバイ。アンチウイルスソフト自身が脆弱性を持っているという話。元記事の英語のスライドも読むべき。

[aodifaud09]

どうすればいいんだよ。脆弱性は法律で禁止して欲しい。

[hirocueki]

サードパーティのソフトはすべてブラウザ拡張・サーバーサイドでまかなえたら、クライアント側がせっせとウイルス対策するより、ブラウザ（一部除く）のほうが信頼性が高そう

[NOV1975]

ルールは一番低レベルに合わせるものだからなあ

[waman]

『多くのアンチウイルスソフトウェアは、アップデートに素のHTTPを使い、しかもアップデートファイルは署名されていない。信じられない。 多くのアンチウイルスソフトウェアは、ASLRを無効にしている。』

[ad2217]

みんな責任回避のために使ってるんだよ。

[mamezou_plus2]

親には、メーカーのアンチウィルスソフト使わしてるけど、自分はWin7の付属のやつ使ってる。やばいウィルスが出回るようなら、Debianでネット閲覧すれば良いし。※Debianもレポジトリから

[moondoldo]

アンチウイルスソフトウェアの時代ではないなら何の時代なの？　デスクトップOSとサーバーOSのセキュリティーの在り方をごっちゃにしてない？　httpの件(一部だと思う)はhttpsに直せってだけで入れない理由にはならないよ

[spacefrontier]

まぁ人間自体が一番のセキュリティホールということは変わらないか…。/ 守る情報・財産・HW資源があるから攻撃される。それが価値有るものである限り攻撃がやむことはない…。

[KoshianX]

俺も気休めだとは思うけど、現実的に何も知らない人が管理するコンピュータはこれくらいのものがないとウィルスにすぐ感染してしまってたからなあ。App Store 以外からソフト入れられずアップデートは自動までやらない

[yamaimo_san]

“多くのアンチウイルスソフトウェアは、アップデートに素のHTTPを使い、しかもアップデートファイルは署名されていない”

[t_motooka]

ちょっと文字多いけど、リンク先のスライドも読むべき。

[causeless]

"@chunjp 経由で知った http://t.co/uCmxbrZg92 の内容を見て戦慄している。なんすかHTTP経由でアップデート、署名無しって……" via https://twitter.com/chunjp/status/554685978145587200