Советы по безопасности Майкрософт 4022344
Обновление системы безопасности для модуль защиты от вредоносных программ (Майкрософт)
Опубликовано: 8 мая 2017 г. | Обновлено: 12 мая 2017 г.
Версия: 1.2
Краткий обзор
Корпорация Майкрософт выпускает эти рекомендации по безопасности, чтобы сообщить клиентам о том, что обновление до модуль защиты от вредоносных программ (Майкрософт) устраняет уязвимость безопасности, сообщаемую корпорации Майкрософт.
Обновление устраняет уязвимость, которая может разрешить удаленное выполнение кода, если модуль защиты от вредоносных программ (Майкрософт) сканирует специально созданный файл. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код в контексте безопасности учетной записи LocalSystem и взять под контроль систему.
Модуль защиты от вредоносных программ (Майкрософт) поставляется с несколькими продуктами майкрософт для защиты от вредоносных программ. Список затронутых продуктов см. в разделе "Затронутое программное обеспечение ". Обновления модуль защиты от вредоносных программ (Майкрософт) устанавливаются вместе с обновленными определениями вредоносных программ для затронутых продуктов. Администратор истаторы корпоративных установок должны следовать установленным внутренним процессам, чтобы гарантировать, что обновления определений и обработчиков утверждены в программном обеспечении управления обновлениями, и что клиенты используют обновления соответствующим образом.
Как правило, никакие действия не требуются для корпоративных администраторов или конечных пользователей для установки обновлений для модуль защиты от вредоносных программ (Майкрософт), так как встроенный механизм автоматического обнаружения и развертывания обновлений будет применять обновление в течение 48 часов выпуска. Точный интервал времени зависит от используемого программного обеспечения, подключения к Интернету и конфигурации инфраструктуры.
Сведения в этом руководстве также доступны в руководстве по обновлению безопасности, на который ссылается CVE-2017-0290.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Последняя версия модуль защиты от вредоносных программ (Майкрософт), затронутых этой уязвимостью | Версия 1.1.13701.0 |
| Первая версия модуль защиты от вредоносных программ (Майкрософт) с этой уязвимостью, устраненной | Версия 1.1.13704.0 |
*Если ваша версия модуль защиты от вредоносных программ (Майкрософт) равна или больше этой версии, то эта уязвимость не затрагивается и не требует дальнейших действий. Дополнительные сведения о том, как проверить номер версии подсистемы, который используется в настоящее время, см. в разделе "Проверка установки обновлений" в статье базы знаний Майкрософт 2510781.
Затронутого программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
| Антивредоносное программное обеспечение | уязвимость модуль защиты от вредоносных программ (Майкрософт) удаленного выполнения кода— CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Критическое \ удаленное выполнение кода |
| Microsoft Endpoint Protection | Критическое \ удаленное выполнение кода |
| Microsoft System Center Endpoint Protection | Критическое \ удаленное выполнение кода |
| Microsoft Security Essentials | Критическое \ удаленное выполнение кода |
| Защитник Windows для Windows 7 | Критическое \ удаленное выполнение кода |
| Защитник Windows для Windows 8.1 | Критическое \ удаленное выполнение кода |
| Защитник Windows для Windows RT 8.1 | Критическое \ удаленное выполнение кода |
| Защитник Windows для Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Критическое \ удаленное выполнение кода |
| Windows Intune Endpoint Protection | Критическое \ удаленное выполнение кода |
| Microsoft Exchange Server 2013 | Критическое \ удаленное выполнение кода |
| Microsoft Exchange Server 2016 | Критическое \ удаленное выполнение кода |
| Microsoft Windows Server 2008 R2 | Критическое \ удаленное выполнение кода |
Индекс эксплойтации
В следующей таблице представлена оценка эксплойтируемости каждого из уязвимостей, устраненных в этом месяце. Уязвимости перечислены в порядке идентификатора бюллетеня и идентификатора CVE. Включены только уязвимости, имеющие оценку серьезности критических или важных в бюллетенях.
Разделы справки использовать эту таблицу?
Эта таблица позволяет узнать о вероятности выполнения кода и эксплойтов отказа в обслуживании в течение 30 дней после выпуска бюллетеня по безопасности для каждого из обновлений безопасности, которые может потребоваться установить. Просмотрите каждую из приведенных ниже оценок в соответствии с конкретной конфигурацией, чтобы определить приоритеты развертывания обновлений в этом месяце. Дополнительные сведения о том, что такое рейтинги означают и как они определяются, см . в индексе эксплойтации Майкрософт.
В приведенных ниже столбцах "Последняя версия программного обеспечения" относится к программному обеспечению темы, а "Старые выпуски программного обеспечения" относится ко всем старым, поддерживаемым выпускам программного обеспечения субъекта, как указано в таблицах "Затронутое программное обеспечение" и "Не затронутое программное обеспечение" в бюллетене.
| ИДЕНТИФИКАТОР CVE | Заголовок уязвимости | Оценка эксплойтируемости для последнего выпуска программного обеспечения | Оценка эксплойтируемости для более старой версии программного обеспечения | Оценка отказа в обслуживании\ Оценка эксплойтируемости |
|---|---|---|---|---|
| CVE-2017-0290 | Уязвимость, связанная с повреждением памяти ядра сценариев | 2 — менее вероятное использование | 2 — менее вероятное использование | Нет данных |
Вопросы и ответы о рекомендациях
Выпустит ли корпорация Майкрософт бюллетень по безопасности для решения этой уязвимости?
№ Корпорация Майкрософт выпускает эти рекомендации по информационной безопасности, чтобы сообщить клиентам о том, что обновление до модуль защиты от вредоносных программ (Майкрософт) устраняет уязвимость безопасности, сообщаемую корпорации Майкрософт.
Как правило, для установки этого обновления не требуется никаких действий администраторов предприятия или конечных пользователей.
Почему для установки этого обновления не требуется никаких действий?
В ответ на постоянно изменяющийся ландшафт угроз корпорация Майкрософт часто обновляет определения вредоносных программ и модуль защиты от вредоносных программ (Майкрософт). Чтобы обеспечить эффективную защиту от новых и распространенных угроз, программное обеспечение защиты от вредоносных программ должно своевременно обновляться с этими обновлениями.
Для корпоративных развертываний, а также конечных пользователей конфигурация по умолчанию в антивредоносном программном обеспечении Майкрософт помогает обеспечить автоматическое обновление определений вредоносных программ и модуль защиты от вредоносных программ (Майкрософт). Документация по продуктам также рекомендует настроить продукты для автоматического обновления.
Рекомендации рекомендуют клиентам регулярно проверять, работает ли распространение программного обеспечения, например автоматическое развертывание обновлений модуль защиты от вредоносных программ (Майкрософт) и определений вредоносных программ, в их среде.
Как часто обновляются определения модуль защиты от вредоносных программ (Майкрософт) и вредоносных программ?
Корпорация Майкрософт обычно выпускает обновление для модуль защиты от вредоносных программ (Майкрософт) один раз в месяц или по мере необходимости для защиты от новых угроз. Корпорация Майкрософт также обычно обновляет определения вредоносных программ три раза ежедневно и может увеличить частоту при необходимости.
В зависимости от того, какое программное обеспечение Майкрософт используется и как оно настроено, программное обеспечение может выполнять поиск обновлений системы и определений каждый день при подключении к Интернету до нескольких раз в день. Клиенты также могут вручную проверка обновлений в любое время.
Как установить обновление?
Дополнительные сведения об установке этого обновления см. в разделе " Предлагаемые действия".
Что такое модуль защиты от вредоносных программ (Майкрософт)?
Модуль защиты от вредоносных программ (Майкрософт), mpengine.dll, предоставляет возможности сканирования, обнаружения и очистки антивирусного и антишпиостерского программного обеспечения Майкрософт.
Содержит ли это обновление дополнительные изменения в функциональных возможностях, связанных с безопасностью?
Да. Помимо изменений, перечисленных для этой уязвимости, это обновление включает в себя подробные обновления для защиты, которые помогают улучшить функции, связанные с безопасностью.
Где можно найти дополнительные сведения о технологии защиты от вредоносных программ Майкрософт?
Дополнительные сведения см. на веб-сайте Центр Майкрософт по защите от вредоносных программ.
уязвимость удаленного выполнения кода модуль защиты от вредоносных программ (Майкрософт) — CVE-2017-0290
Уязвимость удаленного выполнения кода существует, когда модуль защиты от вредоносных программ (Майкрософт) неправильно сканирует специально созданный файл, что приводит к повреждению памяти.
Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код в контексте безопасности учетной записи LocalSystem и взять под контроль систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.
Чтобы использовать эту уязвимость, специально созданный файл должен быть сканирован затронутым версией модуль защиты от вредоносных программ (Майкрософт). Существует множество способов, которым злоумышленник может поместить специально созданный файл в расположение, которое сканируется модуль защиты от вредоносных программ (Майкрософт). Например, злоумышленник может использовать веб-сайт для доставки специально созданного файла в систему жертвы, которая сканируется при просмотре веб-сайта пользователем. Злоумышленник также может доставлять специально созданный файл с помощью сообщения электронной почты или в сообщении мгновенного посланника, которое сканируется при открытии файла. Кроме того, злоумышленник может воспользоваться веб-сайтами, которые принимают или размещают содержимое, предоставленное пользователем, для отправки специально созданного файла в общее расположение, которое сканируется подсистемой защиты вредоносных программ, работающей на сервере размещения.
Если затронутая программа защиты от вредоносных программ включена в режиме реального времени, модуль защиты от вредоносных программ (Майкрософт) автоматически сканирует файлы, что приводит к эксплуатации уязвимости при сканировании специально созданного файла. Если сканирование в режиме реального времени не включено, злоумышленнику потребуется ждать, пока запланированная проверка не будет выполнена, чтобы уязвимость была использована. Все системы, работающие под управлением затронутой версии программного обеспечения защиты от вредоносных программ, в основном подвержены риску.
Обновление устраняет уязвимость, исправляя способ проверки модуль защиты от вредоносных программ (Майкрософт) специально созданных файлов.
Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске рекомендаций по обеспечению безопасности.
Предлагаемые действия
Убедитесь, что обновление установлено
Клиенты должны убедиться, что последняя версия обновлений модуль защиты от вредоносных программ (Майкрософт) и определений активно скачиваются и устанавливаются для своих продуктов защиты от вредоносных программ Майкрософт.Дополнительные сведения о том, как проверить номер версии для модуль защиты от вредоносных программ (Майкрософт) используемого в настоящее время программного обеспечения, см. в разделе "Проверка установки обновлений" в статье базы знаний Майкрософт 2510781.
Для затронутого программного обеспечения убедитесь, что модуль защиты от вредоносных программ (Майкрософт) версии 1.1.13704.0 или более поздней.
При необходимости установите обновление
Администратор istrator для развертываний корпоративных антивредоносных программ следует убедиться, что их программное обеспечение для управления обновлениями настроено для автоматического утверждения и распространения обновлений подсистемы и новых определений вредоносных программ. Администраторы предприятия также должны убедиться, что последняя версия обновлений модуль защиты от вредоносных программ (Майкрософт) и определений активно загружается, утверждается и развертывается в своей среде.Для конечных пользователей затронутая программа предоставляет встроенные механизмы автоматического обнаружения и развертывания этого обновления. Для этих клиентов обновление будет применяться в течение 48 часов после его доступности. Точный интервал времени зависит от используемого программного обеспечения, подключения к Интернету и конфигурации инфраструктуры. Конечные пользователи, которые не хотят ждать, могут вручную обновить свое антивредоносное программное обеспечение.
Дополнительные сведения о том, как вручную обновить определения модуль защиты от вредоносных программ (Майкрософт) и вредоносных программ, см. в статье базы знаний Майкрософт 2510781.
Благодарности
Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:
- Натали Сильванович и Тавис Орманди из Google Project Zero
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (8 мая 2017 г.): рекомендации, опубликованные.
- Версия 1.1 (11 мая 2017 г.): добавлена ссылка на ту же информацию в руководстве по обновлению безопасности. Это только информационное изменение.
- Версия 1.2 (12 мая 2017 г.): добавлены записи в затронутую таблицу программного обеспечения. Это только информационное изменение.
Страница создана 2017-06-14 10:20-07:00.