Ein Jahr Anti-Virus und die Sicherheitslücken

Die Vereinfachung meiner Grundannahmen zum Thema Security läßt sich in einer provozierenden Grundthese zusammenfassen:

"Je mehr Sicherheitsprodukte installiert werden desto geringer ist die Gesamtsicherheit".

Ich werde in nächster Zeit meine These noch weiter untermauern und vor allem genauer erläutern, da sich mit Allgemeinsätzen wenig aussagen lässt. Auch ist mir klar, dass es bei den diversen Risiken im Internet eine Strategie zum Schutz der Anwender geben muss. Aber: Der unreflektierte Glaube an den Schutz durch Schutzprodukte ist ein Irr-Glaube - viel zu oft sind es genau diese Schutzprogramme, die die Einfallstore für den nächsten Angriff erst öffnen.

Eröffnen möchte ich den Ring No Security Blog vs. Security Vendors mit einem kleinen Suchergebnis auf Heise.de: Ein Jahr und seine 35 Hacker-Einladungen durch Anti-Virus-Produkte:

1. Mehrere Sicherheitslücken in Trend-Micro-Produkten
   (22.08.2007, dmk)
   In mehreren Sicherheitsprodukten von Trend Micro können Schwachstellen dazu führen, dass Angreifer fremden Code auf betroffene Systeme schleusen. Betroffen sind sowohl Unternehmens- als auch Privatanwender-Lösungen.

2. Kritische Lücke in Norton Antivirus und Internet Security
   (10.08.2007, dab)
   Fehlerhafte ActiveX-Controls ermöglichen Angreifern, einen PC unter ihre Kontrolle zu bekommen. Dazu genügt der Besuch einer infizierten Webseite. Updates stehen zur Verfügung.

3. Unsichere Dateirechte in Panda Antivirus
   (08.08.2007, dmk)
   Durch unsichere Rechtevergabe auf die Verzeichnisse und Dateien von Panda Antivirus können Angreifer ihre Rechte auf dem Rechner ausweiten. Abhilfe ist laut Panda aber in Sicht.

4. CA patcht Schwachstellen in zahlreichen Produkten
   (25.07.2007, dab)
   Unter anderem schließt der Hersteller eine kritische Lücke in eTrust Intrusion Detection 3.0 und DoS-Lücken in den Parsern seiner Virenscanner.

5. Sicherheitslöcher in Antivirus-Produkten von Norman
   (23.07.2007, dab)
   Durch mehrere Schwachstellen können Angreifer infizierte Dateien am Scanner vorbeischmuggeln oder eigenen Code auf einem Zielsystem starten. Die kritischen Lücken sind noch nicht gepatcht.

6. Lücken in Panda Antivirus und NOD32
   (21.07.2007, dab)
   Schwachstellen in NOD32 und Panda Antivirus ermöglichen einem Angreifer, einen Scanner zum Absturz zu bringen oder sogar eigenen Code in den Rechner eines Opfers zu schleusen und zu starten.

7. Pufferüberlauf in CAs Alarmierungsdienst
   (18.07.2007, dmk)
   CA liefert mit mehreren Produkten einen Alert Notification Server aus, der im lokalen Netz erreichbar ist und in dem Schwachstellen dazu führen, dass Angreifer Schadcode ausführen können.

8. Sicherheitslecks in Antivirensoftware
   (13.07.2007, dmk)
   In ClamAV und AVG können Sicherheitslücken zu einem Denial-of-Service führen oder Anwendern die Ausweitung ihrer Rechte ermöglichen. Microsoft startet derweil eine Betaphase für OneCare 2.0.

9. Mehrere Schwachstellen in Symantec-Produkten [Update]
   (12.07.2007, dmk)
   In Produkten von Symantec wurden mehrere Sicherheitslücken entdeckt, durch die lokale Anwender ihre Rechte ausweiten, Angreifer aus dem Netz einen Denial-of-Service auslösen oder fremden Code ausführen können.

10. DoS-Lücke in Kaspersky-Treiber
    (18.06.2007, dmk)
    Ein Treiber aus Kasperskys Antivirenprodukten klinkt sich in Systemfunktionen ein. Durch fehlerhafte Überprüfungen von daran übergebenen Parametern können Angreifer den Rechner zum Absturz bringen.

11. CA patcht zwei kritische Lücken in zahlreichen Produkten
    (06.06.2007, dab)
    Zwei Fehler bei der Verarbeitung von CAB-Archiven können zum Absturz führen oder einem Angreifer die Gelegenheit geben, ein System zu kompromittieren.

12. Mehrere Sicherheitslücken in F-Secure
    (30.05.2007, dmk)
    Durch Schwachstellen in den Antivirenprodukten von F-Secure können bösartige Individuen mit präparierten Archiven oder ausführbaren Dateien fremden Code ausführen oder einen Denial-of-Service provozieren.

13. Avast führt Code aus CAB-Dateien aus
    (24.05.2007, dmk)
    Der Virenscanner Avast von Alwil ließ sich mit manipulierten CAB-Dateien beliebigen Programmcode unterschieben.

14. NOD32 führt Schadcode aus
    (23.05.2007, cr)
    Der Antivirus-Hersteller Eset behebt zwei Schwachstellen in seinem Scanner, die unter Umständen Angreifern lokal und übers Netz die Pforten öffnen.

15. Sicherheitslücke in Symantec-ActiveX-Modul
    (10.05.2007, dmk)
    Ein von Norton-Produkten installiertes ActiveX-Modul kann durch einen Design-Fehler dazu führen, dass weitere, eigentlich für den Browser gesperrte ActiveX-Module geladen und Sicherheitslücken darin ausgenutzt werden.

16. Mehrere CA-Produkte für Unternehmen ermöglichen Codeschmuggel
    (10.05.2007, dmk)
    CA hat eine Sicherheitsmeldung veröffentlicht, die Fehler in den Produkten für Unternehmen beschreibt. Angreifer können die Lücken zum Einschmuggeln beliebigen Programmcodes ausnutzen.

17. Kaspersky stopft kritische Lücken in Antiviren-Produkten [Update]
    (05.04.2007, dab)
    Ein Maintenance Pack 2 löscht unter anderem ActiveX-Controls, mit dem sich beliebige Dateien vom System eines Opfers herunterladen lassen.

18. Fehler in Trend Micros Virenscanner bringt Windows zum Stillstand
    (16.03.2007, dab)
    Eine Division durch Null beim Scannen präparierter Dateien führt zum Bluescreen of Death.

19. Kaspersky-DoS durch manipulierte UPX-Dateien
    (03.03.2007, dmk)
    Präparierte UPX-Dateien können dazu führen, dass nicht aktualisierte Versionen der Virenscanner von Kaspersky in eine Endlosschleife geraten.

20. Symantecs Controls für Online-Support waren Einfallstor für Angreifer
    (23.02.2007, dab)
    Über fehlerhafte Active-Controls in Norton AntiVirus 2006, Norton Internet Security 2006 und Norton System Works 2006, konnte ein Angreifer einen Windows-PC unter seine Kontroller bringen.

21. Sicherheitslecks in Virenscannern
    (08.02.2007, dmk)
    In Trend Micros Virenscannern können bösartige Individuen beliebigen Code einschleusen. Avast für Server fragt nicht immer nach dem eingestellten Passwort.

22. Sophos beseitigt Lücken in Anti-Virus
    (09.12.2006, ju)
    In den letzten zwei Wochen verteilte Sophos Updates, die eine Reihe von Lücken in ihren Anti-Virus-Produkten beseitigen. Diese hätten sich durch speziell präparierte E-Mails ausnutzen lassen, um Schadcode einzuschleusen.

23. Lücke in NOD32 ermöglichte Code-Ausführung
    (20.12.2006, dmk)
    Der Virenscanner NOD32 von Eset hatte ein Schwachstelle, durch die Angreifer mit manipulierten Word-Dokumenten einen auftretenden Pufferüberlauf zum Einschleusen von beliebiger Software ausnutzen konnten.

24. Lücke in Viren-Scannern von BitDefender gestopft
    (18.12.2006, dab)
    BitDefender verteilte den Patch über das automatische Update bereits im August. Anders als aktuell bei Symantec-Produkten dürften daher kaum noch verwundbare Systeme anzutreffen sein.

25. Yellow Worm verbreitet sich über Lücke in Symantecs Virenscannern
    (17.12.2006, dab)
    eEye warnt vor "Yellow Worm", auch das ISC stellt erhebliche Portscans auf den Symantec Client Port 2967 fest. Symantec will zunächst keinen Unterschied zum Hintergrundrauschen festgestellt haben.

26. E-Mail-Scanner patzen bei MIME-kodierten Anhängen
    (07.12.2006, dab)
    Hendrik Weimer hat einen Fehlerbericht veröffentlicht, in dem er eine Methode beschreibt, wie sich Schädlinge in Mailanhängen an Virenscannern vorbeischmuggeln lassen.

27. Kritische Sicherheitslücken in AVG geschlossen
    (13.11.2006, dmk)
    Hinter dem Changelog-Eintrag "Anfälligkeiten in der Archiv- und Dateiverarbeitungs-Engine behoben", den Grisoft bereits vor mehreren Wochen zu einem AVG-Update herausgegeben hat, verbergen sich einige kritische Sicherheitslücken.

28. Trojaner benutzt Virenscanner
    (21.10.2006, bbe)
    Ein Trojaner namens SpamThru bekämpft seine Malware-Kollegen mit Hilfe eines Virenscanners.

29. AV-Scanner Dr.Web führt Schadcode aus
    (20.09.2006, cr)
    Durch manipulierte LHA-Archive kommt es zu einem Pufferüberlauf auf dem Heap, durch den Angreifer unter Umständen die vollständige Kontrolle über den PC übernehmen können.

30. Format-String-Schwachstelle in Symantecs AntiVirus Corporate Edition (19.09.2006, dab)
    Lokal angemeldete Anwender mit eingeschränkten Nutzerrechten können die Lücke ausnutzen, um eigene Programme mit Systemrechten zu starten. Prinzipiell könnten auch eingedrungene Schädlinge so an Systemrechte gelangen und den Virenschutz aushebeln.

31. Rechteausweitung in Symantecs Firmen-Antivirus
    (14.09.2006, dmk)
    Symantecs Antivirenlösungen für Unternehmensnetze erlauben lokalen Nutzern, ihre Rechte auszuweiten.

32. Avast-Virenscanner anfällig für Codeschmuggel
    (11.09.2006, dmk)
    Durch Avast-Virenscanner können Angreifer mit manipulierten LHA-Archiven beliebigen Programmcode einschleusen.

33. Panne bei CA-Antivirus legte Windows 2003 lahm
    (06.09.2006, ju)
    Ein fehlerhaftes Signatur-Update des CA-Virenscanners eTrust erkannte die System-Datei lsass.exe auf Windows-2003-Server-Systemen als Schädling und löschte sie kurzerhand.

34. ClamAV führt UPX-komprimierte .EXEs aus
    (08.08.2006, dmk)
    In ClamAV kann beim Entpacken von UPX-komprimierten Programmen ein Pufferüberlauf auftreten. Dadurch könnten Angreifer mit manipulierten Dateien beliebigen Code einschleusen und ausführen.

35. Sicherheitsleck im Online-Virenscanner von CA erlaubt Codeausführung
    (07.08.2006, dmk)
    Durch Schwachstellen in den eingesetzten Active-X-Modulen könnten Angreifer auf Systemen Schadcode einschleusen, die den Online-Virenscan von Computer Associates genutzt haben.