Microsoft Security Advisor 4022344
Biztonsági frissítés Microsoft kártevőirtó motor
Közzétéve: 2017. május 8. | Frissítve: 2017. május 12.
Verzió: 1.2
Vezetői összefoglaló
A Microsoft kiadja ezt a biztonsági tanácsadót, amely tájékoztatja az ügyfeleket arról, hogy a Microsoft kártevőirtó motor frissítése elhárítja a Microsoftnak jelentett biztonsági rést.
A frissítés elhárít egy biztonsági rést, amely távoli kódfuttatást tehet lehetővé, ha a Microsoft kártevőirtó motor egy speciálisan létrehozott fájlt vizsgál. A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a LocalSystem-fiók biztonsági környezetében, és átveheti a rendszer irányítását.
A Microsoft kártevőirtó motor több Microsoft kártevőirtó termékkel is szállít. Az érintett termékek listáját az Érintett szoftverek szakaszban találja. Frissítések a Microsoft kártevőirtó motor telepítve vannak az érintett termékek frissített kártevő-definícióival együtt. Rendszergazda vállalati telepítések kezelőinek követniük kell a meglévő belső folyamataikat annak biztosítása érdekében, hogy a definíció és a motorfrissítések engedélyezve legyenek a frissítéskezelő szoftverükben, és hogy az ügyfelek ennek megfelelően használják a frissítéseket.
A vállalati rendszergazdák és a végfelhasználók általában nem telepíthetnek frissítéseket a Microsoft kártevőirtó motor, mert a frissítések automatikus észlelésének és üzembe helyezésének beépített mechanizmusa a kiadást követő 48 órán belül alkalmazza a frissítést. A pontos időkeret a használt szoftvertől, az internetkapcsolattól és az infrastruktúra konfigurációjától függ.
A jelen tanácsadásban szereplő információk a CVE-2017-0290 által hivatkozott biztonsági frissítési útmutatóban is elérhetők.
Tanácsadás részletei
Problémahivatkozások
A problémával kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:
| Hivatkozások | Azonosító |
|---|---|
| A biztonsági rés által érintett Microsoft kártevőirtó motor utolsó verziója | 1.1.13701.0-s verzió |
| A biztonsági rést tartalmazó Microsoft kártevőirtó motor első verziója | 1.1.13704.0-s verzió |
*Ha a Microsoft kártevőirtó motor verziója egyenlő vagy nagyobb ennél a verziónál, akkor a biztonsági rés nem érinti, és nem kell további lépéseket tennie. A szoftver által használt motorverzió számának ellenőrzéséről a Microsoft Tudásbázis 2510781 cikkének "Frissítéstelepítés ellenőrzése" című szakaszában talál további információt.
Érintett szoftver
A program a következő szoftververziókat vagy kiadásokat érinti. A nem felsorolt verziók vagy kiadások a támogatási életciklusukon túl vannak, vagy nem érintik őket. A szoftververzió vagy -kiadás támogatási életciklusának meghatározásához tekintse meg Microsoft ügyfélszolgálata életciklust.
| Kártevőirtó szoftver | Microsoft kártevőirtó motor távoli kódvégrehajtás biztonsági rése – CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Kritikus \ Távoli kódvégrehajtás |
| Microsoft Endpoint Protection | Kritikus \ Távoli kódvégrehajtás |
| Microsoft System Center Endpoint Protection | Kritikus \ Távoli kódvégrehajtás |
| Microsoft Security Essentials | Kritikus \ Távoli kódvégrehajtás |
| Windows Defender for Windows 7 | Kritikus \ Távoli kódvégrehajtás |
| Windows Defender for Windows 8.1 | Kritikus \ Távoli kódvégrehajtás |
| Windows Defender for Windows RT 8.1 | Kritikus \ Távoli kódvégrehajtás |
| Windows Defender Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Kritikus \ Távoli kódvégrehajtás |
| Windows Intune Endpoint Protection | Kritikus \ Távoli kódvégrehajtás |
| Microsoft Exchange Server 2013 | Kritikus \ Távoli kódvégrehajtás |
| Microsoft Exchange Server 2016 | Kritikus \ Távoli kódvégrehajtás |
| Microsoft Windows Server 2008 R2 | Kritikus \ Távoli kódvégrehajtás |
Kihasználhatósági index
Az alábbi táblázat az ebben a hónapban kezelt biztonsági rések kihasználhatósági értékelését tartalmazza. A biztonsági rések a közleményazonosító, majd a CVE-azonosító sorrendjében jelennek meg. Csak azok a biztonsági rések jelennek meg, amelyek súlyossági besorolása kritikus vagy fontos a közleményekben.
Hogyan használni ezt a táblát?
Ebből a táblázatból megtudhatja, hogy a biztonsági közlemény kiadásától számított 30 napon belül milyen valószínűséggel használják ki a kódvégrehajtást és a szolgáltatásmegtagadást az egyes telepíteni kívánt biztonsági frissítések esetében. A havi frissítések üzembe helyezésének rangsorolásához tekintse át az alábbi értékeléseket az adott konfigurációnak megfelelően. A minősítések lényegéről és meghatározásának módjáról a Microsoft Kizsákmányolhatósági indexében talál további információt.
Az alábbi oszlopokban a "Legújabb szoftverkiadás" a tárgyszoftverre, a "Régebbi szoftverkiadások" pedig a tárgyszoftver minden régebbi, támogatott kiadására vonatkozik, amint az a közlemény "Érintett szoftver" és "Nem érintett szoftver" tábláiban szerepel.
| CVE-azonosító | Biztonsági rés címe | Exploitability Assessment for\ Latest Software Release | Kizsákmányolhatóság értékelése a régebbi szoftverkiadáshoz | Szolgáltatásmegtagadás\ Kihasználhatóság értékelése |
|---|---|---|---|---|
| CVE-2017-0290 | Szkriptelési motor memóriasérülési biztonsági rése | 2 – A hasznosítás kevésbé valószínű | 2 – A hasznosítás kevésbé valószínű | Nem alkalmazható |
Tanácsadás – gyakori kérdések
A Microsoft kiad egy biztonsági közleményt a biztonsági rés elhárításához?
Szám A Microsoft kiadja ezt az információs biztonsági tanácsadót, amely tájékoztatja az ügyfeleket arról, hogy a Microsoft kártevőirtó motor frissítése elhárítja a Microsoftnak jelentett biztonsági rést.
A frissítés telepítéséhez általában nincs szükség műveletre a vállalati rendszergazdák vagy a végfelhasználók számára.
Miért nincs szükség műveletre a frissítés telepítéséhez?
A folyamatosan változó veszélyforrásokra reagálva a Microsoft gyakran frissíti a kártevő-definíciókat és a Microsoft kártevőirtó motor. Annak érdekében, hogy hatékonyan lehessen védekezni az új és elterjedt fenyegetések ellen, a kártevőirtó szoftvereket időben naprakészen kell tartani ezekkel a frissítésekkel.
A nagyvállalati telepítések és a végfelhasználók esetében a Microsoft kártevőirtó szoftverének alapértelmezett konfigurációja biztosítja, hogy a kártevő-definíciók és a Microsoft kártevőirtó motor automatikusan naprakészek legyenek. A termékdokumentáció azt is javasolja, hogy a termékek automatikus frissítésre legyenek konfigurálva.
Az ajánlott eljárások azt javasolják, hogy az ügyfelek rendszeresen ellenőrizzék, hogy a szoftverterjesztés, például a Microsoft kártevőirtó motor frissítések és kártevő-definíciók automatikus üzembe helyezése a környezetükben a várt módon működik-e.
Milyen gyakran frissülnek a Microsoft kártevőirtó motor és a kártevő-definíciók?
A Microsoft általában havonta egyszer vagy szükség szerint kiadja a Microsoft kártevőirtó motor frissítését az új fenyegetések elleni védelem érdekében. A Microsoft általában naponta háromszor frissíti a kártevő-definíciókat, és szükség esetén növelheti a gyakoriságot.
Attól függően, hogy melyik Microsoft kártevőirtó szoftvert használják és hogyan van konfigurálva, a szoftver naponta, akár naponta többször is kereshet motor- és definíciófrissítéseket az internethez való csatlakozáskor. Az ügyfelek bármikor manuálisan is ellenőrizhetik a frissítéseket.
Hogyan telepíthetem a frissítést?
A frissítés telepítésének részleteiért tekintse meg a Javasolt műveletek szakaszt.
Mi a Microsoft kártevőirtó motor?
A Microsoft kártevőirtó motor, mpengine.dll biztosítja a Microsoft víruskereső és kémprogram-ellenes szoftverek vizsgálati, észlelési és tisztítási képességeit.
A frissítés tartalmaz további, biztonsággal kapcsolatos módosításokat a funkciókban?
Igen. A biztonsági résre vonatkozó változások mellett ez a frissítés a biztonsággal kapcsolatos funkciók javítása érdekében részletes védelmi frissítéseket is tartalmaz.
Hol találhatok további információt a Microsoft kártevőirtó technológiájáról?
További információkért látogasson el a Microsoft kártevőkezelési központ webhelyére.
Microsoft kártevőirtó motor távoli kódvégrehajtás biztonsági rése – CVE-2017-0290
Távoli kódvégrehajtási biztonsági rés akkor áll fenn, ha a Microsoft kártevőirtó motor nem ellenőrzi megfelelően a memória sérüléséhez vezető speciálisan létrehozott fájlt.
A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a LocalSystem-fiók biztonsági környezetében, és átveheti a rendszer irányítását. A támadó ezután programokat telepíthet; adatok megtekintése, módosítása vagy törlése; vagy hozzon létre új fiókokat teljes felhasználói jogosultságokkal.
A biztonsági rés kihasználásához a speciálisan létrehozott fájlokat a Microsoft kártevőirtó motor érintett verziójának kell beolvasnia. A támadók sokféleképpen helyezhetnek el egy speciálisan létrehozott fájlt a Microsoft kártevőirtó motor által beolvasott helyre. Egy támadó például egy webhely használatával egy speciálisan létrehozott fájlt kézbesíthet az áldozat rendszerének, amelyet a felhasználó a webhely megtekintésekor ellenőriz. A támadó e-mailben vagy csevegőüzenetben is kézbesíthet egy speciálisan létrehozott fájlt, amelyet a rendszer a fájl megnyitásakor ellenőriz. Emellett a támadó kihasználhatja a felhasználó által megadott tartalmakat elfogadó vagy üzemeltető webhelyek előnyeit, hogy egy speciálisan létrehozott fájlt töltsön fel egy megosztott helyre, amelyet az üzemeltető kiszolgálón futó Kártevővédelmi motor vizsgál.
Ha az érintett kártevőirtó szoftver valós idejű védelmet kapcsol be, a Microsoft kártevőirtó motor automatikusan megvizsgálja a fájlokat, ami a biztonsági rés kihasználásához vezet a speciálisan létrehozott fájl vizsgálatakor. Ha a valós idejű vizsgálat nincs engedélyezve, a támadónak várnia kell, amíg ütemezett vizsgálatra kerül sor a biztonsági rés kihasználásához. A kártevőirtó szoftverek érintett verzióját futtató összes rendszer elsősorban veszélyben van.
A frissítés úgy oldja meg a biztonsági rést, hogy kijavítja a Microsoft kártevőirtó motor speciálisan létrehozott fájlokat.
A Microsoft összehangolt biztonságirés-közzététellel kapott információt erről a biztonsági résről.
A Microsoft nem kapott információt arról, hogy ezt a biztonsági rést nyilvánosan használták az ügyfelek támadására a biztonsági tanácsadó eredeti kiadásakor.
Javasolt műveletek
Ellenőrizze, hogy a frissítés telepítve van-e
Az ügyfeleknek ellenőrizniük kell, hogy a Microsoft kártevőirtó motor és definíciófrissítések legújabb verziója aktívan le van-e töltve és telepítve a Microsoft kártevőirtó termékeikhez.A szoftver által jelenleg használt Microsoft kártevőirtó motor verziószámának ellenőrzéséről a Microsoft Tudásbázis 2510781 című cikkének "Frissítéstelepítés ellenőrzése" című szakaszában talál további információt.
Az érintett szoftverek esetében ellenőrizze, hogy a Microsoft kártevőirtó motor 1.1.13704.0-s vagy újabb verziója van-e.
Ha szükséges, telepítse a frissítést
Rendszergazda nagyvállalati kártevőirtó-telepítések kezelőinek biztosítaniuk kell, hogy a frissítéskezelő szoftverük automatikusan jóváhagyja és elosztja a motorfrissítéseket és az új kártevő-definíciókat. A vállalati rendszergazdáknak azt is ellenőrizniük kell, hogy a Microsoft kártevőirtó motor és a definíciófrissítések legújabb verzióját aktívan letöltik, jóváhagyják és üzembe helyezik a környezetükben.A végfelhasználók számára az érintett szoftver beépített mechanizmusokat biztosít a frissítés automatikus észleléséhez és üzembe helyezéséhez. Ezen ügyfelek esetében a frissítés a rendelkezésre állásától számított 48 órán belül lesz alkalmazva. A pontos időkeret a használt szoftvertől, az internetkapcsolattól és az infrastruktúra konfigurációjától függ. Azok a végfelhasználók, akik nem szeretnének várni, manuálisan frissíthetik kártevőirtó szoftvereiket.
A Microsoft kártevőirtó motor és a kártevő-definíciók manuális frissítéséről a Microsoft Tudásbázis 2510781 című cikkében talál további információt.
Köszönetnyilvánítás
A Microsoft köszönetét fejezi ki az alábbiakért, hogy együttműködve segít az ügyfelek védelmében:
Egyéb információk
Microsoft Active Protections Program (MAPP)
Az ügyfelek biztonságának javítása érdekében a Microsoft minden havi biztonsági frissítési kiadás előtt sebezhetőségi információkat nyújt a főbb biztonsági szoftverszolgáltatóknak. A biztonsági szoftverszolgáltatók ezt a biztonsági résinformációt felhasználhatják arra, hogy biztonsági szoftvereiken vagy eszközeiken keresztül frissített védelmet nyújtsanak az ügyfeleknek, például víruskereső, hálózati behatolásészlelő rendszerek vagy gazdagépalapú behatolás-megelőzési rendszerek segítségével. Annak megállapításához, hogy az aktív védelem elérhető-e a biztonsági szoftverszolgáltatóktól, keresse fel a programpartnerek által biztosított aktív védelmi webhelyeket a Microsoft Active Protections Program (MAPP) partnerei között.
Visszajelzés
- Visszajelzést a Microsoft súgó- és támogatási űrlapjának kitöltésével küldhet, amelyről az ügyfélszolgálat kapcsolatba lép velünk.
Támogatás
- A Egyesült Államok és Kanada ügyfelei technikai támogatást kaphatnak a biztonsági támogatástól. További információt a Microsoft súgójában és támogatásában talál.
- A nemzetközi ügyfelek támogatást kaphatnak helyi Microsoft-leányvállalataiktól. További információ: Nemzetközi támogatás.
- A Microsoft TechNet Security további információkat nyújt a Microsoft-termékek biztonságáról.
Felelősséget kizáró nyilatkozat
A jelen tanácsadásban megadott információk bármilyen garanciális szavatosság nélkül". A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.
Változatok
- 1.0-s verzió (2017. május 8.): Tanácsadói közzététel.
- V1.1 (2017. május 11.): Ugyanezen információkra mutató hivatkozás hozzáadva a biztonsági frissítési útmutatóban. Ez csak tájékoztató jellegű változás.
- V1.2 (2017. május 12.): Bejegyzések hozzáadva az érintett szoftvertáblához. Ez csak tájékoztató jellegű változás.
Lap generálva: 2017.06.14. 10:20-07:00.