Microsoft修复了Windows恶意软件保护引擎中的远程黑客缺陷
Microsoft发布了具有大多数Windows安全产品的恶意软件扫描引擎的更新,以便修复一个非常关键的漏洞,可以让攻击者攻击计算机。
谷歌项目Zavis Ormandy和Natalie Silvanovich发现了该脆弱性,周六塔拉伊Silvanovich,足以在星期一创建和发布补丁。这对公司来说是一个异常快速的响应,通常在每个月的第二个星期二发布安全更新,很少违反该循环。
Ormandy星期六在Twitter上宣布,他和他的同事在Windows中发现了一个“疯狂的坏”漏洞,并将其描述为“最近内存中的最糟糕的Windows远程代码执行”。
当时,研究人员没有透露有关缺陷的任何其他细节,这些细节将允许别人在它所在的位置,但是说潜在的利用将影响其默认配置中的Windows安装,并且可以是自传的。
根据星期一发布的Microsoft Security Advisory,当Microsoft恶意软件保护引擎扫描特制文件时,可以触发该漏洞。Windows Defender使用的发动机,在Windows 7及更高版本上预先安装的恶意软件扫描仪,以及其他Microsoft消费者和企业安全产品:Microsoft Security Essentials,Microsoft Forefront Endpoint Protection 2010,Microsoft Endpoint Protection,SharePoint Service Pack 3的Microsoft Forefront Security,Microsoft System Center Endpoint Protection和Windows Intune Endpoint Protection。
桌面和服务器Windows部署可能存在风险,特别是如果在受影响的安全产品中打开实时保护。通过实时保护,Malware Protection Engine在文件系统上出现后立即检查文件,而不是在计划或手动触发扫描操作期间处理它们。
[评论这个故事,请访问Computerworld的Facebook页面。]根据Google Project Zero描述此漏洞,仅在任何形式中的存在和计算机上的任何扩展都可以触发剥削。这包括未开封的电子邮件附件,未完成的下载,由浏览器缓存的临时互联网文件,甚至提交给运行Internet信息服务的基于Windows的Web服务器上托管的网站的网站。
由于Microsoft恶意软件保护引擎与LocalSystem权限运行,因此成功利用此漏洞可能允许黑客完全控制底层操作系统。根据Microsoft,攻击者可以“安装程序;查看,更改或删除数据;或创建具有完整用户权限的新帐户。”
用户应检查其产品中使用的Microsoft恶意软件保护引擎版本为1.1.10701.0或更高版本。FIX对SPPD用于自动更新的产品的传播可能需要48小时,但用户也可以触发手动更新。
“企业antimalware部署的管理员应确保他们的更新管理软件是CONPD自动批准和分发引擎更新和新的恶意软件定义,”微软在其咨询中表示。“企业管理员还应该验证最新版本的Microsoft恶意软件保护引擎和定义更新正在主动下载,批准和部署在其环境中。”