Microsoft offentliggjorde for nylig Security Advisory 4022344, der annoncerede en alvorlig sikkerhedssårbarhed i Malware Protection Engine.
Microsoft Malware Protection Engine
Dette værktøj bruges af forskellige Microsoft-produkter som f.eks Windows Defender og Microsoft Security Essentials på forbruger-pc'er. Det bruges også af Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection eller Windows Intune Endpoint Protection på forretningssiden.
Sårbarheden, der påvirkede alle disse produkter, kunne give mulighed for fjernkørsel af kode hvis et program, der kører Microsoft Malware Protection Engine, scannede en udformet fil.
Windows Defender sårbarhed løst
Tavis Ormandy og Natalie Silvanovich fra Google Project Zero opdagede den "værste Windows-fjernkodekørsel i nyere hukommelse" den 6. majth, 2017. Forskerne fortalte Microsoft om denne sårbarhed, og oplysningerne blev holdt skjult for offentligheden for at give virksomheden 90 dage til at rette det.
Microsoft oprettede hurtigt en patch og skubbede ud nye versioner af
Windows Defender og mere til brugerne.Windows-kunder, der har de berørte produkter, der kører på deres enheder, skal sikre sig, at de er opdateret.
Opdater programmet på Windows 10
- Tryk på Windows-tasten, skriv Windows Defender, og tryk på Enter for at indlæse programmet.
- Hvis du kører Windows 10 Creators Update, får du det nye Windows Defender Security Center.
- Klik på tandhjulsikonet.
- Vælg Om på den næste side.
- Kontroller motorversionen for at sikre, at den er mindst 1.1.13704.0.
Windows Defender-opdateringer er tilgængelige via Windows Update. Flere oplysninger om manuel opdatering af Microsoft-anti-malware-produkter findes i Malware Protection Center på Microsofts websted.
Googles sårbarhedsrapport på Project Zero-webstedet
Her er det:
Sårbarheder i MsMpEng er blandt de mest alvorlige mulige i Windows på grund af tjenestens privilegium, tilgængelighed og allestedsnærværende.
Kernekomponenten i MsMpEng, der er ansvarlig for scanning og analyse, kaldes mpengine. Mpengine er en stor og kompleks angrebsflade, der består af håndtere til snesevis af esoteriske arkivformater, eksekverbare pakkere og kryptorer, fulde systememulatorer og tolke til forskellige arkitekturer og sprog og snart. Al denne kode er tilgængelig for fjernangribere.
NScript er den komponent i mpengine, der evaluerer ethvert filsystem eller netværksaktivitet, der ligner JavaScript. For at være klar er dette en usandboxed og meget privilegeret JavaScript-tolk, der bruges til at evaluere ikke-tillidskode som standard på alle moderne Windows-systemer. Dette er så overraskende som det lyder.
RELATEREDE HISTORIER, DER SKAL KONTROLLERES
- Microsoft løser grim Windows Defender-fejl i Windows 10 Redstone 3
- Windows Defender Application Guard er nu tilgængelig på Microsoft Edge
- Windows Defender starter ikke, når du dobbeltklikker på bakkeikonet [FIX]