聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
周三,微软向所有依赖恶意程式防护引擎 (Malware ProtectionEngine) 实施安全扫描的Windows产品发布更新。这个更新十分重要,用户需要立即修复。
更新主要修复由英国官方情报和安全机构英国政府通讯总部 (GCHQ) 下属机构英国国家网络安全中心 (NCSC) 发现的一个漏洞。
微软表示,这个漏洞CVE-2017-11937的严重等级为“紧急 (Critical)”,能导致远程代码在易受攻击产品上执行:“当微软恶意程式防护引擎未正确扫描一个特别构造的文件时,就会存在一个远程代码执行漏洞,从而导致内存损坏问题。成功利用这个漏洞的攻击者能在LocalSystem账户的安全上下文中执行任意代码并控制系统。攻击者随后能够安装程序;查看、更改或删除数据;或者通过完全用户权限创建新账户。”
要利用这个缺陷,在用户访问站点时,攻击者必须首先构造一个恶意文件并通过邮件、即时消息作为网站代码的一部分将发送给一台远程计算机;或者将恶意文件放在微软恶意程式防护引擎默认会扫描的其它位置。
微软恶意程式防护引擎旨在实时自动地扫描文件,从而导致漏洞会被立即且轻松利用。该引擎存在于多款产品中,如Windows Defender、微软Security Essentials、微软Endpoint Protection和Windows Intune Endpoint Protection。这些产品存在于当前所有受支持的Windows版本中即Windows 7及更高版本中。
微软在微软恶意程式保护引擎版本 1.1.14405.2中修复了这个漏洞。
好在微软已经为这个组件特别设计了一个自我更新机制,也就是说大多数用于已经接收到了这个更新,除非他们选择调整注册表键值或通过组策略拦截了MMPE更新。在这种情况下,用户应该注意这个重要的MMPE更新并允许组件更新。
这并非MMPE组件在今年接收到的唯一一个“紧急”级别的修复方案。单今年就出现了三个类似漏洞,导致攻击者能在运行过时MMPE组件的Windows计算机上远程执行代码。
关联阅读
Microsoft恶意软件防护引擎远程执行代码漏洞(CVE-2017-0290)
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/microsoft-fixes-malware-protection-engine-bug-discovered-by-british-intelligence/