数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装学
法学Microsoft Windows 恶意软件扫描程序中的远程代码执行 (RCE) 紧急路径 (CVE-2017-0290)
著名的安全研究员 Tavis Ormandy 最近在 Twitter 上宣布,他和他的研究员 Natalie Silvanovich 发现了一个名为“远程代码执行”的漏洞。据他们说,该漏洞针对默认安装(“可蠕虫传播”)有效,能够在受感染的计算机上自我复制,然后自动传播到网络中的其他电脑。
Microsoft 宣布,他们自己的 Windows 7、8.0、8.1 和 10 电脑以及 Windows Server 2016 上的杀毒软件,由于最近发布的针对由 Google 项目工程师周末发现的“远程代码执行”补丁的紧急更新而变得容易受到攻击。
根据 Microsoft 发布的公告,远程可利用的安全漏洞 (CVE-2017-0290) 存在于 MMPE(Microsoft 恶意软件防护引擎)中,这是其自身的杀毒引擎,可用于在没有任何用户干预的情况下完全破坏 Windows 电脑。
Microsoft 对此漏洞做出了快速响应,并在 1-2 天内发布了补丁。该补丁可通过 Windows 更新提供给所有受影响的机器,例如 Windows 7、8.0、8.1 和 10。
远程代码执行漏洞的工作原理
首先,什么是 MMPE(Microsoft 恶意软件防护引擎)中的远程代码执行漏洞?
此漏洞存在于 MMPE(Microsoft 恶意软件防护引擎)扫描文件的方式中,使攻击者能够制作可能导致目标机器内存损坏的文件,从而使评估文件系统或网络活动的 MMPE 引擎(类似于 Javascript)无法验证 Javascript 输入。
由于反病毒程序具有实时扫描功能,该功能通过自动计划启用,并在创建、复制、下载文件时扫描文件。一旦下载受影响的文件,此漏洞就会被触发并感染目标计算机。
黑客可以通过多种方式利用此漏洞,例如发送电子邮件、发送恶意文件、即时消息以及邀请访问受感染的网站。
易受攻击的 MMPE 版本
易受攻击的 MMPE(Microsoft 恶意软件防护引擎)版本是 1.1.13701.0,已更新的补丁版本是 1.1.13704.0。
受影响的 Microsoft 反恶意软件软件列表:
以下包含 MMPE(Microsoft 恶意软件防护引擎)的反恶意软件软件易受此漏洞攻击:
- Windows Defender
- Windows Intune 终端防护
- Microsoft Security Essentials
- Microsoft System Center 终端防护
- Microsoft SharePoint 前沿安全
- Microsoft 终端防护
- Microsoft 前沿终端防护
如何修复?
默认情况下,Microsoft Windows 电脑会自动安装最新的定义并更新恶意软件引擎。电脑将在 1-2 天内自动安装所有紧急更新,但我们也可以通过单击更新页面上的“更新定义”来获取安装更新。
浏览量:113
