Sicherheitslücke in der Malware Protection Engine Modulversion 1.1.13903.0 geschlossen

Kurz notiert: Tavis Ormandy hat im Windows Defender Anfang Juni eine Sicherheitslücke entdeckt. Normalerweise arbeitet der Antivirenschutz von Microsoft in einer Sandox, damit gescannte Dateien nicht das System angreifen können. In der Modulversion der Malware Protection Engine 1.1.13804.0 wurde diese aber ausserhalb der Sandbox ausgeführt.

Dass hatte zur Folge, dass es möglich gewesen wäre, dass ein Angreifer über Remote Zugriff auf den Rechner zu bekommen. Tavis Ormandy hat das Microsoft natürlich mitgeteilt und in der Zwischenzeit wurde das Problem über die CVE-2017-8558 behoben.

Unternehmen muss man nichts. Denn dieser Teil wird unabhängig von Windows Update aktualisiert. Ihr könnt in der Windows 10 unter Einstellungen -> Updates und Sicherheit -> Windows Defender nachschauen. Dort steht unter Modulversion die Versionsnummer 1.1.13903.0. Betroffen waren die Microsoft Security Essentials, Microsoft Endpoint Protection und natürlich der Windows Defender unter Windows 7, 8.x und 10 (alle Versionen).

Es ist gut zu sehen, dass Microsoft schnell auf diese Lücken reagiert. Am 7.Juni wurde sie erkannt. Am 19.Juni hatte Microsoft dann die Untersuchung abgeschlossen und das Update angekündigt. Am 23.Juni folge dann das Update automatisch im Hintergrund. Microsoft selber schreibt dazu:

"Eine Sicherheitsanfälligkeit für Remotecodeausführung besteht, wenn die Microsoft Malware Protection Engine eine speziell gestaltete Datei nicht ordnungsgemäß durchsucht, was zur Speicherbeschädigung führt. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, konnte im Sicherheitskontext des LocalSystem-Kontos einen beliebigen Code ausführen und die Kontrolle über das System übernehmen.
Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen. Oder sogar neue Konten mit vollständigen Benutzerrechten erstellen."

Wer sich noch tiefer in die Materie einlesen möchte, findet auf bugs.chromium.org den Ablauf. Im portal.msrc.microsoft die betroffenen Produkte.

via: borncity

Sicherheitslücke in der Malware Protection Engine Modulversion 1.1.13903.0 geschlossen
Artikel teilen
Über den Autor
ähnliche Artikel
vorheriger Artikel
nächster Artikel

10 Kommentare zu “Sicherheitslücke in der Malware Protection Engine Modulversion 1.1.13903.0 geschlossen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.