„Microsoft“ neseniai paskelbė saugos patarimą 4022344, paskelbdama apie didelę kenkėjiškų programų apsaugos variklio saugumo spragą.

„Microsoft“ kenkėjiškų programų apsaugos variklis

Šį įrankį vartotojams skirtuose asmeniniuose kompiuteriuose naudoja įvairūs „Microsoft“ produktai, tokie kaip „Windows Defender“ ir „Microsoft Security Essentials“. Verslo pusėje ją taip pat naudoja „Microsoft Endpoint Protection“, „Microsoft Forefront“, „Microsoft System Center Endpoint Protection“ arba „Windows Intune Endpoint Protection“.

Dėl visų šių produktų pažeidžiamumo gali būti leidžiama vykdyti nuotolinį kodo vykdymą, jei programa, paleidžianti „Microsoft Malware Protection Engine“, nuskaitytų meistriškai sukurtą failą.

Ištaisytas „Windows Defender“ pažeidžiamumas

Tavis Ormandy ir Natalie Silvanovič iš „Google Project Zero“ atrado „blogiausio„ Windows “nuotolinio kodo vykdymo scenarijų naujausioje atmintyje“ 2017 m. Gegužės 6 ^d. Tyrėjai papasakojo „Microsoft“ apie šį pažeidžiamumą, o informacija buvo slepiama nuo visuomenės, kad įmonė galėtų ją pateikti. 90 dienų ją ištaisyti.

„Microsoft“ greitai sukūrė pataisą ir vartotojams išleido naujas „Windows Defender“ ir dar daugiau versijų.

„Windows“ klientai, kurių paveikti produktai veikia jų įrenginiuose, turi įsitikinti, kad jie atnaujinti.

Atnaujinkite programą „Windows 10“

• Bakstelėkite „Windows“ klavišą, įveskite „Windows Defender“ ir spustelėkite „Enter“, kad įkeltumėte programą.
• Jei vykdysite „Windows 10“ kūrėjų naujinį, gausite naują „Windows Defender“ saugos centrą.
• Spustelėkite krumpliaračio piktogramą.
• Kitame puslapyje pasirinkite Apie.
• Patikrinkite variklio versiją ir įsitikinkite, kad ji yra bent 1.1.13704.0.

„Windows Defender“ naujinius galima rasti naudojantis „Windows Update“. Daugiau informacijos apie „Microsoft“ kovos su kenkėjiška programa atnaujinimą rankiniu būdu galite rasti „Microsoft“ svetainės „Kenkėjiškų programų apsaugos centre“.

„Google“ pažeidžiamumo ataskaita „Project Zero“ svetainėje

Štai jis:

„MsMpEng“ pažeidžiamumas yra vienas iš sunkiausių galimų „Windows“ dėl paslaugų privilegijų, prieinamumo ir visur.

Pagrindinis „MsMpEng“ komponentas, atsakingas už skenavimą ir analizę, vadinamas mpenginu. „Mpengine“ yra platus ir sudėtingas atakų paviršius, susidedantis iš dešimčių ezoterinių archyvų formatų tvarkytojų, vykdomųjų pakuotojų ir kriptorių, visos sistemos emuliatorių ir vertėjų įvairioms architektūroms ir kalboms ir pan. Visas šis kodas yra prieinamas nuotoliniams užpuolikams.

„NScript“ yra „mpengine“ komponentas, įvertinantis bet kokią failų sistemą ar tinklo veiklą, panašią į „JavaScript“. Aišku, tai yra „neapsaugotas“ ir labai privilegijuotas „JavaScript“ vertėjas, kuris pagal nutylėjimą yra naudojamas nepatikimam kodui įvertinti visose šiuolaikinėse „Windows“ sistemose. Tai ne mažiau keista, kaip atrodo.