Microsoft修复了Windows恶意软件保护引擎中的远程黑客缺陷

Microsoft发布了具有大多数Windows安全产品的恶意软件扫描引擎的更新，以便修复一个非常关键的漏洞，可以让攻击者攻击计算机。

谷歌项目Zavis Ormandy和Natalie Silvanovich发现了该脆弱性，周六塔拉伊Silvanovich，足以在星期一创建和发布补丁。这对公司来说是一个异常快速的响应，通常在每个月的第二个星期二发布安全更新，很少违反该循环。

Ormandy星期六在Twitter上宣布，他和他的同事在Windows中发现了一个“疯狂的坏”漏洞，并将其描述为“最近内存中的最糟糕的Windows远程代码执行”。

当时，研究人员没有透露有关缺陷的任何其他细节，这些细节将允许别人在它所在的位置，但是说潜在的利用将影响其默认配置中的Windows安装，并且可以是自传的。

根据星期一发布的Microsoft Security Advisory，当Microsoft恶意软件保护引擎扫描特制文件时，可以触发该漏洞。Windows Defender使用的发动机，在Windows 7及更高版本上预先安装的恶意软件扫描仪，以及其他Microsoft消费者和企业安全产品：Microsoft Security Essentials，Microsoft Forefront Endpoint Protection 2010，Microsoft Endpoint Protection，SharePoint Service Pack 3的Microsoft Forefront Security，Microsoft System Center Endpoint Protection和Windows Intune Endpoint Protection。

桌面和服务器Windows部署可能存在风险，特别是如果在受影响的安全产品中打开实时保护。通过实时保护，Malware Protection Engine在文件系统上出现后立即检查文件，而不是在计划或手动触发扫描操作期间处理它们。

根据Google Project Zero描述此漏洞，仅在任何形式中的存在和计算机上的任何扩展都可以触发剥削。这包括未开封的电子邮件附件，未完成的下载，由浏览器缓存的临时互联网文件，甚至提交给运行Internet信息服务的基于Windows的Web服务器上托管的网站的网站。

由于Microsoft恶意软件保护引擎与LocalSystem权限运行，因此成功利用此漏洞可能允许黑客完全控制底层操作系统。根据Microsoft，攻击者可以“安装程序;查看，更改或删除数据;或创建具有完整用户权限的新帐户。”

用户应检查其产品中使用的Microsoft恶意软件保护引擎版本为1.1.10701.0或更高版本。FIX对SPPD用于自动更新的产品的传播可能需要48小时，但用户也可以触发手动更新。

“企业antimalware部署的管理员应确保他们的更新管理软件是CONPD自动批准和分发引擎更新和新的恶意软件定义，”微软在其咨询中表示。“企业管理员还应该验证最新版本的Microsoft恶意软件保护引擎和定义更新正在主动下载，批准和部署在其环境中。”