Microsoft publicerade nyligen Security Advisory 4022344 och meddelade en allvarlig säkerhetsproblem i Malware Protection Engine.
Microsofts skydd mot skadlig programvara
Detta verktyg används av olika Microsoft-produkter som Windows Defender och Microsoft Security Essentials på konsumentdatorer. Det används också av Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection eller Windows Intune Endpoint Protection på affärssidan.
Sårbarheten som påverkade alla dessa produkter kan möjliggöra fjärrkörning av kod om ett program som kör Microsoft Malware Protection Engine skannade en utformad fil.
Windows Defenders sårbarhet fixad
Tavis Ormandy och Natalie Silvanovich från Google Project Zero upptäckte den "värsta Windows-fjärrkodskörningen i det senaste minnet" den 6 majth, 2017. Forskarna berättade för Microsoft om denna sårbarhet och informationen hölls dold för allmänheten för att ge företaget 90 dagar på sig att fixa det.
Microsoft skapade snabbt en patch och drev ut nya versioner av Windows Defender och mer till användarna.
Windows-kunder som har de berörda produkterna som körs på sina enheter måste se till att de är uppdaterade.
Uppdatera programmet på Windows 10
- Tryck på Windows-tangenten, skriv Windows Defender och tryck Enter för att ladda programmet.
- Om du kör Windows 10 Creators Update får du nya Windows Defender Security Center.
- Klicka på kugghjulsikonen.
- Välj Om på nästa sida.
- Kontrollera motorversionen för att se till att den är minst 1.1.13704.0.
Windows Defender-uppdateringar är tillgängliga via Windows Update. Mer information om hur man uppdaterar Microsofts anti-malware-produkter finns i Malware Protection Center på Microsofts webbplats.
Googles sårbarhetsrapport på Project Zero-webbplatsen
Här är det:
Sårbarheter i MsMpEng är bland de allvarligaste möjliga i Windows på grund av tjänstens privilegium, tillgänglighet och allestädes närvarande.
Kärnkomponenten i MsMpEng som ansvarar för skanning och analys kallas mpengine. Mpengine är en stor och komplex attackyta, bestående av hanterare för dussintals esoteriska arkivformat, körbara förpackare och kryptorer, fullständiga systememulatorer och tolkar för olika arkitekturer och språk, och så vidare. All denna kod är tillgänglig för fjärranfallare.
NScript är komponenten i mpengine som utvärderar alla filsystem eller nätverksaktiviteter som ser ut som JavaScript. För att vara tydlig är detta en osandboxad och mycket privilegierad JavaScript-tolk som används för att utvärdera opålitlig kod som standard på alla moderna Windows-system. Det här är så förvånande som det låter.
RELATERADE BERÄTTELSER FÖR ATT KONTROLLERA:
- Microsoft fixar otäcka Windows Defender-fel i Windows 10 Redstone 3
- Windows Defender Application Guard är nu tillgängligt på Microsoft Edge
- Windows Defender startar inte när du dubbelklickar på fackikonen [FIX]
