Microsoft Security Advisory 4022344

congtou 2017-5-9 最新漏洞 0 0

Microsoft恶意软件保护引擎的安全更新程序

版本: 1.0

Microsoft正在发布此安全通知,通知客户Microsoft Microsoft恶意软件保护引擎的更新解决了向Microsoft报告的安全漏洞。

该更新解决了如果Microsoft恶意软件防护引擎扫描特制文件可能允许远程执行代码的漏洞。成功利用此漏洞的攻击者可以在LocalSystem帐户的安全上下文中执行任意代码,并控制系统。

Microsoft恶意软件防护引擎附带了多个Microsoft反恶意软件产品。有关影响的产品的列表,请参阅“ 受影响的软件”部分。安装Microsoft恶意软件防护引擎的更新以及受影响产品的更新的恶意软件定义。企业安装管理员应遵循已建立的内部流程,以确保其更新管理软件中的定义和引擎更新被批准,并且客户端相应地消费更新。

通常,企业管理员或最终用户不需要为Microsoft恶意软件防护引擎安装更新,因为自动检测和部署更新的内置机制将在发布后48小时内应用更新。确切的时间框架取决于所使用的软件,Internet连接和基础架构配置。

咨询细节

问题参考

有关此问题的更多信息,请参阅以下参考:

1

*如果您的Microsoft恶意软件防护引擎版本等于或大于此版本,那么您不会受此漏洞的影响,并且不需要采取任何进一步措施。有关如何验证软件当前使用的引擎版本号的更多信息,请参阅Microsoft知识库文章2510781中的 “验证更新安装”一节。

受影响的软件

以下软件版本或版本受到影响。未列出的版本或版本超出其支持生命周期或不受影响。要确定软件版本或版本的支持生命周期,请参阅Microsoft支持生命周期。

1

利用指数

下表提供了本月解决的每个漏洞的可利用性评估。这些漏洞按照公告ID,然后按CVE ID的顺序列出。仅包含公告中严重等级为“严重”或“重要”的漏洞。

如何使用此表?

使用此表可以了解安全公告发布后30天内代码执行和拒绝服务漏洞的可能性,以及您可能需要安装的每个安全更新。根据您的具体配置,查看以下每个评估,以优先处理本月更新的部署。有关这些评级意味着什么以及如何确定的更多信息,请参阅Microsoft利用指数

在以下列中,“最新软件版本”是指主题软件,“旧软件版本”是指主题软件的所有旧版本,受支持的版本,如“受影响的软件”和“不受影响的软件”表中所列在公告中。

1

咨询常见问题

微软是否发布了安全公告来解决这个漏洞?
没有。微软正在发布此信息安全公告,通知客户,Microsoft恶意软件保护引擎的更新解决了向Microsoft报告的安全漏洞。

通常,企业管理员或最终用户不需要采取任何操作来安装此更新。

为什么安装此更新不需要任何操作?
为了应对不断变化的威胁环境,Microsoft经常更新恶意软件定义和Microsoft恶意软件防护引擎。为了有效地防范新的和普遍的威胁,反恶意软件必须及时更新这些更新。

对于企业部署以及最终用户,Microsoft反恶意软件的默认配置有助于确保恶意软件定义和Microsoft恶意软件保护引擎自动保持最新状态。产品文档还建议将产品配置为自动更新。

最佳做法建议客户定期验证软件分发,例如Microsoft恶意软件防护引擎更新和恶意软件定义的自动部署是否按照预期在其环境中正常工作。

Microsoft恶意软件防护引擎和恶意软件定义的更新频率如何?
Microsoft通常每月发布一次Microsoft恶意软件保护引擎的更新,或者根据需要来防范新的威胁。Microsoft还通常每天更新三次恶意软件定义,并可在需要时增加频率。

根据使用哪种Microsoft反恶意软件的软件以及如何配置,软件可以每天连接到互联网,每天多次搜索引擎和定义更新。客户还可以随时选择手动检查更新。

如何安装更新?
有关如何安装此更新的详细信息,请参阅“ 建议的操作 ”部分。

什么是Microsoft恶意软件保护引擎?
Microsoft恶意软件保护引擎mpengine.dll为Microsoft防病毒和反间谍软件提供扫描,检测和清除功能。

此更新是否包含任何其他与安全性相关的功能更改?

是。除了针对此漏洞列出的更改外,此更新还包括深度防御更新,以帮助改进与安全性相关的功能。

在哪里可以找到有关Microsoft反恶意软件技术的更多信息?
有关更多信息,请访问Microsoft恶意软件防护中心网站。

Microsoft恶意软件防护引擎远程执行代码漏洞(CVE-2017-0290)

当Microsoft恶意软件保护引擎未正确扫描特制文件导致内存损坏时,存在远程执行代码漏洞。

成功利用此漏洞的攻击者可以在LocalSystem帐户的安全上下文中执行任意代码,并控制系统。攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。

要利用此漏洞,必须由受影响的Microsoft恶意软件防护引擎扫描特制文件。攻击者可以通过许多方法将特制文件放置在Microsoft恶意软件防护引擎扫描的位置。例如,攻击者可以使用网站将特制文件传送到受害者的系统,该系统在网站被用户查看时被扫描。攻击者还可以通过电子邮件或在打开文件时扫描的Instant Messenger消息中提供特制文件。此外,攻击者可以利用接受或托管用户提供的内容的网站,将特制文件上传到由托管服务器上运行的恶意软件保护引擎扫描的共享位置。

如果受影响的反恶意软件启用了实时保护,则Microsoft恶意软件保护引擎将自动扫描文件,从而在扫描特制文件时导致利用该漏洞。如果未启用实时扫描,则攻击者将需要等待直到发生计划扫描才能利用该漏洞。运行受影响版本的反恶意软件的所有系统主要面临风险。

该更新通过更正Microsoft恶意软件防护引擎扫描特制文件的方式来解决漏洞。

Microsoft通过协调的漏洞披露获取有关此漏洞的信息。

Microsoft没有收到任何信息,表明在最初发布此安全公告时,此漏洞已被公开用于攻击客户。

  • 验证是否安装了更新客户应验证最新版本的Microsoft恶意软件保护引擎和定义更新正在为其Microsoft反恶意软件产品进行主动下载和安装。

    有关如何验证软件当前正在使用的Microsoft恶意软件防护引擎的版本号的详细信息,请参阅Microsoft知识库文章2510781中的 “验证更新安装”一节。

    对于受影响的软件,请验证Microsoft恶意软件防护引擎版本是否为1.1.10701.0或更高版本。

  • 如有必要,请安装更新企业反恶意软件部署的管理员应确保其更新管理软件被配置为自动批准和分发引擎更新和新的恶意软件定义。企业管理员还应确认最新版本的Microsoft恶意软件保护引擎和定义更新正在其环境中被积极下载,批准和部署。

    对于最终用户,受影响的软件为自动检测和部署此更新提供内置机制。对于这些客户,更新将在其可用性的48小时内应用。确切的时间框架取决于所使用的软件,Internet连接和基础架构配置。不希望等待的最终用户可以手动更新其反恶意软件软件。

    有关如何手动更新Microsoft恶意软件防护引擎和恶意软件定义的详细信息,请参阅Microsoft知识库文章2510781

微软感谢以下与我们合作帮助保护客户:

Microsoft Active Protected Program(MAPP)

为了改善客户的安全保护,Microsoft在每个月度安全更新版本之前向主要安全软件提供商提供漏洞信息。然后,安全软件提供商可以使用此漏洞信息,通过其安全软件或设备(如防病毒,基于网络的入侵检测系统或基于主机的入侵防御系统)为客户提供更新的保护。要确定安全软件提供商是否提供主动保护,请访问Microsoft Active Protected Program(MAPP)合作伙伴列出的计划合作伙伴提供的主动保护网站。

反馈

支持

放弃

本咨询中提供的信息“按原样”提供,不提供任何形式的保证。Microsoft不承担任何明示或暗示的保证,包括适销性和适用于特定目的的保证。在任何情况下,即使Microsoft Corporation或其供应商被告知有可能发生此类损害,Microsoft Corporation或其供应商对任何直接,间接的,偶然的,后果的,商业利润损失或特殊损害的任何损害概不负责。某些国家不允许排除或限制相应或偶然的损害赔偿责任,因此上述限制可能不适用。

修订

  • V1.0(2017年5月8日):咨询公布。

转载请注明来自华盟网,本文标题:《Microsoft Security Advisory 4022344》

喜欢 (0) 发布评论