Porady dotyczące zabezpieczeń firmy Microsoft 4022344
Aktualizacja zabezpieczeń aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft
Opublikowano: 8 maja 2017 r. | Zaktualizowano: 12 maja 2017 r.
Wersja: 1.2
Streszczenie
Firma Microsoft publikuje ten biuletyn zabezpieczeń, aby poinformować klientów, że aktualizacja aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft rozwiązuje lukę w zabezpieczeniach zgłoszoną przez firmę Microsoft.
Aktualizacja usuwa lukę w zabezpieczeniach, która może umożliwić zdalne wykonywanie kodu, jeśli aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft skanuje specjalnie spreparowany plik. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może wykonać dowolny kod w kontekście zabezpieczeń konta LocalSystem i przejąć kontrolę nad systemem.
Aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft jest dostarczany z kilkoma produktami firmy Microsoft chroniącymi przed złośliwym kodem. Zobacz sekcję Affected Software (Oprogramowanie, których dotyczy problem), aby zapoznać się z listą produktów, których dotyczy problem. Aktualizacje do aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft są instalowane wraz ze zaktualizowanymi definicjami złośliwego oprogramowania dla produktów, których dotyczy problem. Administracja istratorzy instalacji przedsiębiorstwa powinni postępować zgodnie z ustalonymi procesami wewnętrznymi, aby upewnić się, że aktualizacje definicji i aparatu zostały zatwierdzone w oprogramowaniu do zarządzania aktualizacjami, a klienci odpowiednio korzystają z aktualizacji.
Zazwyczaj nie jest wymagana żadna akcja administratorów przedsiębiorstwa lub użytkowników końcowych w celu zainstalowania aktualizacji aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft, ponieważ wbudowany mechanizm automatycznego wykrywania i wdrażania aktualizacji będzie stosować aktualizację w ciągu 48 godzin od wydania. Dokładny przedział czasu zależy od używanego oprogramowania, połączenia internetowego i konfiguracji infrastruktury.
Informacje przedstawione w tym poradniku są również dostępne w przewodniku po aktualizacji zabezpieczeń, do których odwołuje się CVE-2017-0290.
Szczegóły porady
Odwołania do problemów
Aby uzyskać więcej informacji na temat tego problemu, zobacz następujące odwołania:
| Dokumentacja | Identyfikator |
|---|---|
| Ostatnia wersja aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft, której dotyczy ta luka w zabezpieczeniach | Wersja 1.1.13701.0 |
| Pierwsza wersja aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft z tą luką w zabezpieczeniach | Wersja 1.1.13704.0 |
* Jeśli Twoja wersja aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft jest równa lub większa niż ta wersja, nie ma to wpływu na tę lukę w zabezpieczeniach i nie trzeba podejmować dalszych działań. Aby uzyskać więcej informacji na temat sprawdzania numeru wersji aparatu używanego obecnie przez oprogramowanie, zobacz sekcję "Weryfikowanie instalacji aktualizacji" w artykule dotyczącym bazy wiedzy Microsoft Knowledge Base 2510781.
Oprogramowanie, którego dotyczy problem
Dotyczy to następujących wersji oprogramowania lub edycji. Wersje lub wersje, które nie są wymienione, są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.
| Oprogramowanie chroniące przed złośliwym kodem | Luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft — CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Krytyczne \ Zdalne wykonywanie kodu |
| Microsoft Endpoint Protection | Krytyczne \ Zdalne wykonywanie kodu |
| Microsoft System Center Endpoint Protection | Krytyczne \ Zdalne wykonywanie kodu |
| Microsoft Security Essentials | Krytyczne \ Zdalne wykonywanie kodu |
| Windows Defender dla systemu Windows 7 | Krytyczne \ Zdalne wykonywanie kodu |
| Windows Defender dla systemu Windows 8.1 | Krytyczne \ Zdalne wykonywanie kodu |
| Windows Defender dla windows RT 8.1 | Krytyczne \ Zdalne wykonywanie kodu |
| Windows Defender dla systemu Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Krytyczne \ Zdalne wykonywanie kodu |
| program Endpoint Protection usługi Windows Intune | Krytyczne \ Zdalne wykonywanie kodu |
| Microsoft Exchange Server 2013 | Krytyczne \ Zdalne wykonywanie kodu |
| Microsoft Exchange Server 2016 | Krytyczne \ Zdalne wykonywanie kodu |
| Microsoft Windows Server 2008 R2 | Krytyczne \ Zdalne wykonywanie kodu |
Indeks możliwości wykorzystania
Poniższa tabela zawiera ocenę możliwości wykorzystania każdej z luk w zabezpieczeniach rozwiązanych w tym miesiącu. Luki w zabezpieczeniach są wymienione w kolejności identyfikatora biuletynu, a następnie identyfikatora CVE. Uwzględniane są tylko luki w zabezpieczeniach, które mają ocenę ważności Krytyczne lub Ważne w biuletynach.
Jak mogę użyć tej tabeli?
Ta tabela zawiera informacje na temat prawdopodobieństwa wykonania kodu i ataków typu "odmowa usługi" w ciągu 30 dni od wydania biuletynu zabezpieczeń dla każdej aktualizacji zabezpieczeń, które mogą być konieczne do zainstalowania. Przejrzyj każdą z poniższych ocen zgodnie z konkretną konfiguracją, aby określić priorytety wdrożenia aktualizacji w tym miesiącu. Aby uzyskać więcej informacji na temat znaczenia tych ocen i sposobu ich określania, zobacz Indeks możliwości wykorzystania przez firmę Microsoft.
W poniższych kolumnach "Najnowsza wersja oprogramowania" odnosi się do oprogramowania podmiotowego, a "Starsze wydania oprogramowania" odnoszą się do wszystkich starszych, obsługiwanych wersji oprogramowania, jak wymieniono w tabelach "Oprogramowanie, których dotyczy problem" i "Oprogramowanie bez wpływu" w biuletynie.
| IDENTYFIKATOR CVE | Tytuł luki w zabezpieczeniach | Ocena możliwości wykorzystania dla najnowszej wersji oprogramowania | Ocena możliwości wykorzystania dla starszej wersji oprogramowania | Odmowa usługi\ Ocena możliwości wykorzystania |
|---|---|---|---|---|
| CVE-2017-0290 | Luka w zabezpieczeniach dotycząca uszkodzenia pamięci aparatu skryptów | 2 — Wykorzystanie mniej prawdopodobne | 2 — Wykorzystanie mniej prawdopodobne | Nie dotyczy |
Porady — często zadawane pytania
Czy firma Microsoft publikuje biuletyn zabezpieczeń w celu rozwiązania tej luki w zabezpieczeniach?
L.p. Firma Microsoft publikuje ten biuletyn zabezpieczeń informacyjny, aby poinformować klientów, że aktualizacja aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft eliminuje lukę w zabezpieczeniach zgłoszoną przez firmę Microsoft.
Zazwyczaj do zainstalowania tej aktualizacji nie jest wymagana żadna akcja administratorów przedsiębiorstwa ani użytkowników końcowych.
Dlaczego nie jest wymagana żadna akcja do zainstalowania tej aktualizacji?
W odpowiedzi na stale zmieniający się poziom zagrożenia firma Microsoft często aktualizuje definicje złośliwego oprogramowania i aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft. Aby zapewnić skuteczną ochronę przed nowymi i rozpowszechnianymi zagrożeniami, oprogramowanie chroniące przed złośliwym kodem musi być na bieżąco z tymi aktualizacjami w odpowiednim czasie.
W przypadku wdrożeń przedsiębiorstwa, a także użytkowników końcowych, domyślna konfiguracja w oprogramowaniu firmy Microsoft chroniącym przed złośliwym oprogramowaniem pomaga zagwarantować, że definicje złośliwego oprogramowania i aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft są aktualizowane automatycznie. Dokumentacja produktu zaleca również skonfigurowanie produktów do automatycznego aktualizowania.
Najlepsze rozwiązania zaleca, aby klienci regularnie sprawdzali, czy dystrybucja oprogramowania, taka jak automatyczne wdrażanie aktualizacji aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft i definicji złośliwego oprogramowania, działa zgodnie z oczekiwaniami w ich środowisku.
Jak często aktualizowany jest aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft i definicje złośliwego oprogramowania?
Firma Microsoft zazwyczaj publikuje aktualizację aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft raz w miesiącu lub zgodnie z potrzebami w celu ochrony przed nowymi zagrożeniami. Firma Microsoft zwykle aktualizuje definicje złośliwego oprogramowania trzy razy dziennie i może zwiększyć częstotliwość w razie potrzeby.
W zależności od tego, które oprogramowanie firmy Microsoft chroniące przed złośliwym kodem jest używane i jak jest skonfigurowane, oprogramowanie może wyszukiwać aktualizacje aparatu i definicji codziennie, gdy jest połączone z Internetem, do wielu razy dziennie. Klienci mogą również ręcznie sprawdzać dostępność aktualizacji w dowolnym momencie.
Jak zainstalować aktualizację?
Zapoznaj się z sekcją Sugerowane akcje, aby uzyskać szczegółowe informacje na temat sposobu instalowania tej aktualizacji.
Co to jest aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft?
Aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft, mpengine.dll, udostępnia funkcje skanowania, wykrywania i czyszczenia oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem firmy Microsoft.
Czy ta aktualizacja zawiera dodatkowe zmiany związane z zabezpieczeniami dotyczące funkcji?
Tak. Oprócz zmian wymienionych na potrzeby tej luki w zabezpieczeniach ta aktualizacja zawiera szczegółowe aktualizacje obrony, które ułatwiają poprawę funkcji związanych z zabezpieczeniami.
Gdzie można znaleźć więcej informacji na temat technologii ochrony przed złośliwym kodem firmy Microsoft?
Aby uzyskać więcej informacji, odwiedź witrynę internetową Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem.
Luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft — CVE-2017-0290
Luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu istnieje, gdy aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft nie skanuje prawidłowo specjalnie spreparowanego pliku prowadzącego do uszkodzenia pamięci.
Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może wykonać dowolny kod w kontekście zabezpieczeń konta LocalSystem i przejąć kontrolę nad systemem. Osoba atakująca może następnie instalować programy, wyświetlać, zmieniać lub usuwać dane albo tworzyć nowe konta z pełnymi prawami użytkownika.
Aby wykorzystać tę lukę w zabezpieczeniach, specjalnie spreparowany plik musi zostać przeskanowany przez wersję aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft. Istnieje wiele sposobów, na które osoba atakująca może umieścić specjalnie spreparowany plik w lokalizacji skanowanej przez aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft. Na przykład osoba atakująca może użyć witryny internetowej, aby dostarczyć specjalnie spreparowany plik do systemu ofiary, który jest skanowany po wyświetleniu witryny internetowej przez użytkownika. Osoba atakująca może również dostarczyć specjalnie spreparowany plik za pośrednictwem wiadomości e-mail lub wiadomości błyskawicznej, która jest skanowana po otwarciu pliku. Ponadto osoba atakująca może skorzystać z witryn internetowych, które akceptują lub hostowały zawartość dostarczaną przez użytkownika, aby przekazać specjalnie spreparowany plik do udostępnionej lokalizacji, która jest skanowana przez aparat ochrony przed złośliwym oprogramowaniem uruchomionym na serwerze hostingu.
Jeśli objęte oprogramowanie chroniące przed złośliwym kodem ma włączoną ochronę w czasie rzeczywistym, aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft automatycznie skanuje pliki, co prowadzi do wykorzystania luki w zabezpieczeniach po skanowaniu specjalnie spreparowanego pliku. Jeśli skanowanie w czasie rzeczywistym nie jest włączone, osoba atakująca będzie musiała poczekać, aż nastąpi zaplanowane skanowanie w celu wykorzystania luki w zabezpieczeniach. Wszystkie systemy z uruchomioną wersją oprogramowania chroniącego przed złośliwym kodem są zagrożone przede wszystkim.
Aktualizacja usuwa tę lukę w zabezpieczeniach, poprawiając sposób skanowania specjalnie spreparowanych plików przez aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft.
Firma Microsoft otrzymała informacje o tej lukach w zabezpieczeniach poprzez skoordynowane ujawnienie luk w zabezpieczeniach.
Firma Microsoft nie otrzymała żadnych informacji wskazujących, że ta luka w zabezpieczeniach została publicznie użyta do ataku na klientów, gdy ten biuletyn zabezpieczeń został pierwotnie wydany.
Sugerowane akcje
Sprawdź, czy aktualizacja jest zainstalowana
Klienci powinni sprawdzić, czy najnowsza wersja aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft i aktualizacje definicji są aktywnie pobierane i instalowane dla swoich produktów firmy Microsoft chroniących przed złośliwym kodem.Aby uzyskać więcej informacji na temat sprawdzania numeru wersji aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft używanego obecnie, zobacz sekcję "Weryfikowanie instalacji aktualizacji" w artykule bazy wiedzy Microsoft Knowledge Base 2510781.
W przypadku oprogramowania, którego dotyczy problem, sprawdź, czy aparat ochrony przed złośliwym oprogramowaniem firmy Microsoft ma wersję 1.1.13704.0 lub nowszą.
W razie potrzeby zainstaluj aktualizację
Administracja istratorzy wdrożeń oprogramowania chroniącego przed złośliwym kodem w przedsiębiorstwie powinni upewnić się, że ich oprogramowanie do zarządzania aktualizacjami aktualizacji jest skonfigurowane do automatycznego zatwierdzania i dystrybuowania aktualizacji aparatu oraz nowych definicji złośliwego oprogramowania. Administratorzy przedsiębiorstwa powinni również sprawdzić, czy najnowsza wersja aparatu ochrony przed złośliwym oprogramowaniem firmy Microsoft i aktualizacje definicji są aktywnie pobierane, zatwierdzane i wdrażane w ich środowisku.W przypadku użytkowników końcowych oprogramowanie, którego dotyczy problem, udostępnia wbudowane mechanizmy automatycznego wykrywania i wdrażania tej aktualizacji. W przypadku tych klientów aktualizacja zostanie zastosowana w ciągu 48 godzin od jej dostępności. Dokładny przedział czasu zależy od używanego oprogramowania, połączenia internetowego i konfiguracji infrastruktury. Użytkownicy końcowi, którzy nie chcą czekać, mogą ręcznie zaktualizować swoje oprogramowanie chroniące przed złośliwym kodem.
Aby uzyskać więcej informacji na temat ręcznego aktualizowania aparatu ochrony przed złośliwym oprogramowaniem i definicji złośliwego oprogramowania firmy Microsoft, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 2510781.
Podziękowania
Firma Microsoft dziękuje za współpracę z nami w celu ochrony klientów:
- Natalie Silvanovich i Tavis Ormandy z Google Project Zero
Inne informacje
Microsoft Active Protections Program (MAPP)
Aby zwiększyć ochronę zabezpieczeń dla klientów, firma Microsoft udostępnia informacje o lukach w zabezpieczeniach głównym dostawcom oprogramowania zabezpieczającego przed każdym comiesięcznym wydaniem aktualizacji zabezpieczeń. Dostawcy oprogramowania zabezpieczającego mogą następnie używać tych informacji o lukach w zabezpieczeniach, aby zapewnić klientom zaktualizowane zabezpieczenia za pośrednictwem oprogramowania lub urządzeń zabezpieczeń, takich jak oprogramowanie antywirusowe, systemy wykrywania nieautoryzowanego dostępu do sieci lub systemy zapobiegania włamaniom oparte na hoście. Aby określić, czy aktywne zabezpieczenia są dostępne od dostawców oprogramowania zabezpieczającego, odwiedź aktywne witryny sieci Web udostępniane przez partnerów programu wymienionych w programie Microsoft Active Protections Program (MAPP).
Opinia
- Możesz przekazać opinię, wypełniając formularz Pomoc i obsługa techniczna firmy Microsoft, skontaktuj się z nami.
Pomoc techniczna
- Klienci w Stany Zjednoczone i Kanadzie mogą otrzymywać pomoc techniczną od działu pomocy technicznej ds. zabezpieczeń. Aby uzyskać więcej informacji, zobacz Pomoc i obsługa techniczna firmy Microsoft.
- Klienci międzynarodowi mogą otrzymywać pomoc techniczną od swoich lokalnych spółek zależnych firmy Microsoft. Aby uzyskać więcej informacji, zobacz International Support (Pomoc techniczna międzynarodowa).
- Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.
Zastrzeżenie
Informacje podane w tym poradniku są dostarczane "tak, jak jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (8 maja 2017 r.): Biuletyn został opublikowany.
- Wersja 1.1 (11 maja 2017 r.): Dodano link do tych samych informacji w przewodniku po aktualizacji zabezpieczeń. Jest to tylko zmiana informacyjna.
- Wersja 1.2 (12 maja 2017 r.): Dodano wpisy do tabeli oprogramowania, której dotyczy problem. Jest to tylko zmiana informacyjna.
Strona wygenerowana 2017-06-14 10:20-07:00.