在實際部署之前，各位企業用戶應該對自己的殺毒產品進行一次徹底的安全性測試——理由很簡單，目前針對這一技術領域的攻擊活動風險正不斷提升，COSEINC研究人員Joxean Koret指出。

COSEINC是一家來自新加坡的安全機構，在此前對17款主流殺毒引擎與產品進行密切關注后他們發現其中14款存在危險度極高且能夠被本地及遠程方式利用的安全漏洞。

Koret的分析報告還指出，這些殺毒軟件供應商往往存在要求權限過高、缺乏明顯的產品更新機制、交付安全性低下的HTTP、運行陳舊代碼以及未能進行適當的源代碼審查與修正等嚴重問題。

此次遭受批評的廠商包括Avira、BitDefender、ESET以及Panda，他們的產品中往往包含多種不同類型的本地與遠程漏洞，一部分隨后得到了修復、但也有一部分屬于零日漏洞。

盡管這些核心殺毒引擎往往已經采用地址空間隨機分布等防御措施，但在用戶界面及特征庫方面仍然存在功能缺失狀況。某些主流產品甚至無法實現數據執行預防機制。

殺毒引擎通常利用C語言創建，因此往往存在緩沖與整數溢出問題。此外，已安裝的操作系統驅動程序會造成本地權限提升，而受支持的大量文件格式也有可能各自引發不同的解析器漏洞。

殺毒引擎的功能越強大，留給惡意人士闖入內部網絡的途徑也就越多。出于這個原因，配備其它附加功能的殺毒軟件應當與其它企業網絡隔離開來。

“如果大家的應用程序運行在最高權限之下，且在使用過程中會安裝內核驅動程序、數據包過濾器并試圖接手計算機需要涉及的全部處理內容……那么各位的攻擊面也將因此而大大增加，”Koret在Syscan 360的報告中解釋稱。

“殺毒引擎會給大家的計算機帶來不同程度的性能損失，而且與本該受到保護的應用程序一樣面臨著零日攻擊的嚴峻威脅。它們甚至會拉低操作系統的運行速度。”

“某些殺毒軟件企業甚至根本沒考慮過自己產品本身的安全性。”

殺毒軟件在執行中使用的過高權限往往會成為攻擊者們的跳板，因為此類軟件往往要求擁有root或者系統級訪問資格，他表示。

惡意人士可以利用這些可乘之機在更新提醒當中夾帶私貨，并利用HTTPS對那些“對設備擁有完全操作權限”的殺毒軟件用戶展開中間人攻擊。

“利用殺毒引擎中的漏洞與利用其它客戶端應用程序并沒有什么區別。這類軟件往往并不具備或者提供特殊的自我保護機制。它們的安全性完全依賴于操作系統功能（ASLR/DEP）而且僅此而已，有時候它們甚至會禁用這些功能。”

當然，Koret在調查中發現某些殺毒產品在響應安全問題方面比其它一些更為敏銳，其中Avast的表現最突出——它采取漏洞獎勵機制，即為任何發現現有漏洞的用戶提供獎金。相比之下，那些規模最大的安全方案供應商并沒有拿出與之相匹配的豐富資源進行專門的安全漏洞研究。

Koret建議這些殺毒軟件廠商在模擬器或者虛擬機環境下運行危險代碼，這會大大提高攻擊者執行危險代碼的難度。

“為什么利用瀏覽器漏洞的難度反而高于安全產品？這是個值得深思的問題。”