Microsoft поправя уязвимост за дистанционно изпълнение на Windows Defender

Microsoft наскоро публикува Съвет за сигурност 4022344, съобщавайки за сериозна уязвимост на защитата в Malware Protection Engine.

Двигател за защита от зловреден софтуер на Microsoft

Този инструмент се използва от различни продукти на Microsoft като Windows Defender и Основи на Microsoft Security на потребителски компютри. Използва се също от Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection или Windows Intune Endpoint Protection от страна на бизнеса.

Уязвимостта, която засегна всички тези продукти, може да позволи дистанционно изпълнение на код ако програма, работеща с Microsoft Malware Protection Engine, сканира създаден файл.

Отстранена е уязвимостта на Windows Defender

Тавис Орманди и Натали Силванович от Google Project Zero откриха „най-лошия Windows exec за отдалечен код в скорошната памет“ на 6 май^ти, 2017. Изследователите казаха на Microsoft за тази уязвимост и информацията беше скрита от обществеността, за да даде на компанията 90 дни да я поправи.

Microsoft бързо създаде кръпка и изтласка нови версии на Windows Defender и повече за потребителите.

Клиентите на Windows, които имат засегнатите продукти, работещи на техните устройства, трябва да се уверят, че са актуализирани.

Актуализирайте програмата на Windows 10

• Докоснете клавиша Windows, въведете Windows Defender и натиснете Enter, за да заредите програмата.
• Ако стартирате Windows 10 Creators Update, ще получите новия Център за защита на Windows Defender.
• Щракнете върху иконата на зъбно колело.
• Изберете About на следващата страница.
• Проверете версията на двигателя, за да се уверите, че е поне 1.1.13704.0.

Актуализациите на Windows Defender са достъпни чрез Windows Update. Повече информация за ръчно актуализиране на продукти за защита от злонамерен софтуер на Microsoft можете да намерите в центъра за защита от зловреден софтуер на уебсайта на Microsoft.

Доклад на Google за уязвимост на уебсайта Project Zero

Ето го:

Уязвимостите в MsMpEng са едни от най-тежките възможни в Windows, поради привилегията, достъпността и повсеместността на услугата.

Основният компонент на MsMpEng, отговорен за сканирането и анализа, се нарича mpengine. Mpengine е обширна и сложна повърхност за атака, състояща се от манипулатори за десетки езотерични архивни формати, изпълними пакери и криптори, пълни системни емулатори и интерпретатори за различни архитектури и езици, и скоро. Целият този код е достъпен за отдалечени нападатели.

NScript е компонентът на mpengine, който оценява всяка файлова система или мрежова активност, която прилича на JavaScript. За да бъдем ясни, това е интерпретатор на JavaScript и изключително привилегирован интерпретатор на JavaScript, който се използва за оценка на ненадежден код, по подразбиране на всички модерни системи на Windows. Това е толкова изненадващо, колкото звучи.

СВЪРЗАНИ ИСТОРИИ ЗА ПРОВЕРКА:

• Microsoft поправя неприятната грешка на Windows Defender в Windows 10 Redstone 3
• Windows Defender Application Guard вече е достъпен в Microsoft Edge
• Windows Defender няма да се стартира, когато щракнете двукратно върху иконата на тавата [FIX]