Microsoft baru-baru ini menerbitkan Penasihat Keselamatan 4022344, mengumumkan kelemahan keselamatan yang teruk dalam Enjin Perlindungan Malware.

Enjin Perlindungan Malware Microsoft

Alat ini digunakan oleh pelbagai produk Microsoft seperti Windows Defender dan Microsoft Security Essentials pada PC pengguna. Ia juga digunakan oleh Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection, atau Perlindungan Endpoint Windows Intune di sisi perniagaan.

Kerentanan yang menjejaskan semua produk ini membolehkan pelaksanaan kod jauh jika program yang menjalankan Perlindungan Microsoft Malware Engine mengimbas fail yang dibuat.

Kekurangan Windows Defender tetap

Tavis Ormandy dan Natalie Silvanovich dari Google Project Zero mendapati "pelaksanaan kod terpencil Windows teruk dalam ingatan baru-baru ini" pada 6 Mei, 2017. Para penyelidik memberitahu Microsoft mengenai kelemahan ini dan maklumat itu tersembunyi daripada orang awam untuk memberi syarikat itu 90 hari untuk memperbaikinya.

Microsoft dengan cepat mencipta patch dan menolak versi baru Windows Defender dan banyak lagi kepada pengguna.

Pelanggan Windows yang mempunyai produk yang terjejas yang dijalankan pada peranti mereka mesti memastikan bahawa ia dikemas kini.

Kemas kini program pada Windows 10

• Ketik kekunci Windows, taip Windows Defender, dan tekan Enter untuk memuatkan program.
• Sekiranya anda menjalankan Pembaharuan Pencipta Windows 10, anda akan mendapat Windows Defender Security Center yang baru.
• Klik ikon cogwheel.
• Pilih Perihal pada halaman seterusnya.
• Semak Versi Engine untuk memastikan sekurang-kurangnya 1.1.13704.0.

Kemas kini Windows Defender boleh didapati melalui Kemas Kini Windows. Maklumat lanjut mengenai mengemas kini produk anti-malware Microsoft secara manual tersedia di pusat Perlindungan Malware di laman web Microsoft.

Laporan kelemahan Google di laman web Projek Zero

Ini dia:

Kerentanan di MsMpEng adalah antara yang paling teruk di Windows, kerana keistimewaan, kebolehaksesan, dan keabadian perkhidmatan.

Komponen utama MsMpEng yang bertanggungjawab untuk pengimbasan dan analisis dipanggil mpengine. Mpengine adalah permukaan serangan yang luas dan rumit, yang terdiri daripada pengendali untuk berpuluh-puluh format arkib esoterik, pembungkus dan penjenayah yang boleh dieksekusi, emulator sistem penuh dan penterjemah untuk pelbagai seni bina dan bahasa, dan sebagainya. Semua kod ini boleh diakses oleh penyerang jauh.

NScript adalah komponen mpengine yang menilai mana-mana sistem fail atau aktiviti rangkaian yang kelihatan seperti JavaScript. Untuk menjadi jelas, ini adalah penterjemah JavaScript yang tidak tersentuh dan sangat istimewa yang digunakan untuk menilai kod yang tidak dipercayai, secara lalai pada semua sistem Windows moden. Ini adalah sebagai mengejutkan kerana ia berbunyi.