By Martin Stut, 2008-04-21

Im letzten Post schrieb ich da eher theoretisch über die Gefahr, dass sich der Updater per Buffer-Overflow o.ä. was Böses einfängt. Viel realer ist die Gefahr, dass der Scanner, der ja auf allerlei potenziell und real schädliche Dateien losgelassen wird, sich an einer zu prüfenden Datei so verschluckt, dass er darin enthaltenen bösartigen Code mit seinen eigenen Rechten (die meist "Vollzugriff auf alles" beinhalten, denn er soll ja ggf. alles Schädliche blockieren können) ausführt. Die zahlreichen Meldungen der letzten Monate über Sicherheitslücken in Virenscannern lassen den Verdacht aufkommen "entsteht durch den Einsatz von Virenscannern nicht bald mehr Gefahr als durch die Viren selber?".

Der Angriffsweg heisst dann "der Virenscanner des Opfers muss eine präparierte Datei prüfen". Wenn dieser Virenscanner auf dem Mail-Gateway liegt, genügt es also einen Super-Virus (so virös, dass er den Virenscanner zum Trojanischen Pferd macht) an das Opfer zu schicken, und schon hat man Zugriff auf alles, was durch dessen Mail-Server läuft...

Es muss also eine Architektur her, die benutzbare Systeme liefert, die auch ohne Anti-Viren-Software sicher sind - denn die nützt im Ernstfall wenig und kann sogar zusätzliche Lücken aufreißen.