北京时间12月7日,微软官方发布了一则通告表示其恶意软件防护引擎(Malware Protection Engine)存在一个远程代码执行漏洞(CVE-2017-11937)。
该漏洞源于防护引擎没有正确扫描特制的文件,导致内存损坏。 成功利用此漏洞的攻击者可以在LocalSystem帐户的安全环境中执行任意代码并控制系统。 随后攻击者可以安装程序; 查看,更改或删除数据; 或者创建具有完整用户权限的新帐户
相关链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937
受影响的版本及产品
见文末附录列表
解决方案
微软官方已经发布了相关补丁修复了该漏洞。通常,企业管理员或终端用户不需要为Microsoft恶意软件保护引擎安装更新,因为自动检测和部署更新的内置机制将在发布后的48小时内自动应用更新。
验证更新是否安装的方法请参考:https://support.microsoft.com/kb/2510781,确保防护引擎的版本至少为1.1.14405.2
用户还可以手动下载安装该补丁,请参考:https://support.microsoft.com/kb/2510781
附录
受影响的产品及版本信息如下,未列出的版本不受影响或已不受支持。
| Product | Platform |
| Microsoft Endpoint Protection | |
| Microsoft Exchange Server 2013 | |
| Microsoft Exchange Server 2016 | |
| Microsoft Forefront Endpoint Protection | |
| Microsoft Forefront Endpoint Protection 2010 | |
| Microsoft Security Essentials | |
| Windows Defender | Windows 10 version 1709 for 32-bit Systems |
| Windows Defender | Windows RT 8.1 |
| Windows Defender | Windows 10 Version 1607 for x64-based Systems |
| Windows Defender | Windows 8.1 for x64-based systems |
| Windows Defender | Windows 10 Version 1703 for x64-based Systems |
| Windows Defender | Windows 10 for x64-based Systems |
| Windows Defender | Windows 7 for x64-based Systems Service Pack 1 |
| Windows Defender | Windows 8.1 for 32-bit systems |
| Windows Defender | Windows 10 for 32-bit Systems |
| Windows Defender | Windows 10 Version 1511 for x64-based Systems |
| Windows Defender | Windows 10 version 1709 for x64-based Systems |
| Windows Defender | Windows 10 Version 1511 for 32-bit Systems |
| Windows Defender | Windows 7 for 32-bit Systems Service Pack 1 |
| Windows Defender | Windows Server, version 1709 (Server Core Installation) |
| Windows Defender | Windows 10 Version 1607 for 32-bit Systems |
| Windows Defender | Windows Server 2016 (Server Core installation) |
| Windows Defender | Windows Server 2016 |
| Windows Defender | Windows 10 Version 1703 for 32-bit Systems |
| Windows Intune Endpoint Protection |
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。