Очередная уязвимость Защитника Windows. Патч уже доступен

Инженер команды Project Zero, Орманди впервые обнаружил уязвимость Защитника Windows 9 июня 2017 года и по частным каналам сообщил о проблеме технологическому гиганту. Согласно политике Project Zero, у вендоров есть 90 дней на исправление уязвимостей, после истечения данного срока информация о проблемах становится общедоступной.

I wrote a fuzzer for the unsandboxed x86 emulator in Windows Defender and found arbitrary read/write. https://t.co/t29mYNwiAL

— Tavis Ormandy (@taviso) 23 июня 2017 г.

Microsoft очень быстро отреагировала, выпустив соответствующее обновление безопасности, поэтому Орманди опубликовал подробную информацию об уязвимости уже в пятницу. Он еще раз показал, что без виртуализации, антивирусный движок Microsoft подвержен проблемам безопасности.

Не медлите с обновлением

Орманди пояснил, что ошибка была обнаружена во встроенном в Защитник Windows эмуляторе x86, который был намеренно оставлен без виртуализации:

Я обсудил с Microsoft инструкцию "apicall", которая может вызывать большое количество внутренних интерфейсов API эмулятора и могла применяться злоумышленниках во всех последних версиях Windows. Редмонд ответил, что инструкция оставалась незащищенной преднамеренно по нескольким причинам.

Microsoft уже опубликовала патч для данной уязвимости. Чтобы исправить ошибку, нужно обновить подсистему Malware Protection Engine до версии 1.1.13903.0. Чтобы посмотреть текущую версию, перейдите в приложение Параметры > Обновление и безопасность > Защитник Windows и проверьте версию подсистемы.

Системы Windows 10 настроены на автоматическое получение обновлений, поэтому при наличии активного подключения к Интернету необходимые патчи будут установлены.

Microsoft стала очень оперативно реагировать на случаи обнаружения проблем безопасности в своих продуктах. Хотя с другой стороны, вместо того, чтобы регулярно выпускать патчи и заплатки, Редмонд мог бы заняться виртуализацией антивирусного движка для предотвращения подобных проблем в будущем.