主旨:微軟惡意程式防護引擎(Microsoft Malware Protection Engine)存在允許攻擊者遠端執行程式碼之漏洞,進而取得系統控制權,請儘速確認防護引擎版本並進行更新
說明:
微軟自Windows 7版本起內建Windows Defender程式,藉由即時監控、阻擋、隔離或刪除惡意程式功能,保護電腦免於惡意程式危害。本次存在漏洞之惡意程式防護引擎(Microsoft Malware Protection Engine,簡稱MsMpEng)為Windows Defender核心元件,亦是Microsoft Forefront與Microsoft Security Essentials等微軟安全產品的核心元件。MsMpEng中負責掃描與分析的核心元件稱為mpengine,其中NScript是mpengine的元件,用於檢測任何看起來像是JavaScript的文件。
Google Project Zero成員Tarvis Ormandy與Natalie Silvano發現MsMpEng 1.1.13701.0(含)以前的版本,如果系統啟用即時保護(預設開啟)功能,攻擊者透過傳送特製檔案,MsMpEng自動掃描該檔案時,因NScript無法正確的解析檔案,導致攻擊者可透過檔案中的JavaScript程式碼利用該漏洞執行任意程式碼,進而獲取系統控制權。
影響平臺:
Microsoft Forefront Endpoint Protection 2010
Microsoft Endpoint Protection
Microsoft Forefront Security for SharePoint Service Pack 3
Microsoft System Center Endpoint Protection
Microsoft Security Essentials
Windows Defender for Windows 7
Windows Defender for Windows 8.1
Windows Defender for Windows RT 8.1
Windows Defender for Windows 10, Windows Server 2016
Windows Intune Endpoint Protection
建議措施:
-
建議儘速進行檢查與更新,例如Windows 7之Windows Defender惡意程式防護引擎版本之更新方式如下:
開啟控制台。
選擇「Windows Defender」。
於上方工具列,點選最右邊的「說明選項」。
選擇「關於Windows Defender」,即可看到引擎版本。
如為1.1.13701.0(含)以前的版本,可從「說明選項」中點選「檢查更新」即可將引擎版本更新至最新版本。
其他受影響之微軟安全產品檢查與更新方式,請參閱參考資料所述。
參考資料
-
-
-
計算機與通訊中心
網路系統組 敬啟