【国际资讯】谷歌公开“史上最严重的”Windows RCE漏洞详情

http://p0.qhimg.com/t0191541f696939d804.png

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


传送门

【漏洞预警】Microsoft恶意软件防护引擎远程执行代码漏洞(CVE-2017-0290)


前言

谷歌Project Zero安全团队研究员Tavis Ormandy和Natalie Silvanovich声称在Windows中发现一个严重的漏洞。如在90天内该漏洞未经修复,那么他们可能会发布详情。日前,该漏洞详情已发布。(参考链接:【漏洞预警】Microsoft恶意软件防护引擎远程执行代码漏洞(CVE-2017-0290)

谷歌找到“史上最严重的”Windows RCE漏洞

Ormandy上周末在推特上宣布称他跟Silvanovich发现了“近期最严重的Windows远程代码执行漏洞”,但并未提供任何详情,不过声称他们创建的利用代码能够在默认的Windows程序中运行,并且攻击者无需处于跟受害者一样的局域网就可实施攻击。他还指出攻击可能是蠕虫攻击类型。

虽并未公布漏洞详情,但还是有一些行业人员批评谷歌团队公开该漏洞的存在。微软回应称,Windows一直致力于调查所报告的安全问题,而且积极尽快更新受影响设备。公司建议消费者使用Win 10和Edge浏览器获取更好的保护措施。

http://p2.qhimg.com/t01d4ca572639468510.png


微软修复谷歌发现的“史上最严重的”Windows RCE漏洞

如果微软反恶意软件引擎扫描一个特别编制的文件,则会引发远程代码执行,从而引发内存损坏。攻击者如成功利用该漏洞,则会在LocalSystem账户的安全上下文中执行任意代码并控制该系统。攻击者随后能安装程序;查看、更新或删除数据;或者创建具有完全用户权限的新账户。

要利用这漏洞,要求受影响的反恶意软件引擎扫描一个特别编制的文件。攻击者可通过多种方法实现这一目的,如当受害者正在访问网站时,将特别编制的文件传播给被扫描的系统,或者当受害者打开邮件或即时消息时通过被扫描的邮件或即时消息传播。另外,攻击者还能利用接受或托管用户内容的网站将特别编制的文件上传到在托管服务器上运行的反恶意软件引擎扫描的共享位置上。

如果受影响的反恶意软件的软件的实时保护功能开启,那么微软反恶意软件引擎将会自动扫描文件,导致特别编制的文件被扫描时漏洞被利用。弱实时扫描未启用,攻击者需要等待扫描来利用漏洞。运行受影响反恶意软件的软件系统都具有风险。

微软反恶意软件引擎包含多个微软反恶意软件产品。受影响软件产品见下表。引擎更新和对受影响产品的恶意软件定义更新一起安装。企业管理员或终端用户无需采取任何措施来安装微软反恶意软件引擎的更新,因为在补丁发布的48小时内,更新的自动检测和部署的内置机制会应用更新。确切的时间范围取决于所使用的软件、互联网连接情况和基础设施的配置。用户可随时手动查询更新情况,也可选择手动更新。

除了解决这个远程代码执行漏洞外,更新还包含有助于改进安全相关功能的深入防御更新。

受影响的反恶意软件引擎是1.1.13701.0,修复该问题的首个版本是1.1.13704.0。受影响软件产品如下,未列此处的版本或者已不再受支持或者并未受影响。可查询微软支持生活周期检查自己的软件版本是否已不再受支持。该漏洞的编号是CVE-2017-0290,名称是“脚本引擎内存损坏漏洞”。

微软在公告中表示尚未发现有利用该漏洞的证据。微软建议消费者查看更新是否已安装。如不想等待微软的自动更新,可选择手动安装更新。

谷歌的漏洞披露机制

谷歌一般会给相关企业90天的漏洞修复时间,之后会公开漏洞详情。不过如果漏洞已被利用,则修复修复日期缩短为7天。

比如去年11月份,谷歌安全团队披露了一个已被利用但微软未在7天内修复的影响Windows内核的0day漏洞,今年2月份,披露了影响Edge和IE浏览器的潜在严重漏洞PoC。

在过去的几年中谷歌都以90天为期限披露多个Windows漏洞。2015年在微软及行业其它成员的批评意见下,谷歌对披露政策做出修改但仍然严格遵循90天期限政策。


传送门


【漏洞预警】Microsoft恶意软件防护引擎远程执行代码漏洞(CVE-2017-0290)

(完)