Microsoft ha publicado una nueva actualización para su
motor de escaneo de malware incluido en la mayoría de los Windows, para evitar
una vulnerabilidad crítica que podría permitir a un atacante tomar el control
de los sistemas afectados.
En esta ocasión la vulnerabilidad, con CVE-2017-8558, fue
anunciada por Tavis Ormandy, el ya conocido investigador de Google Project
Zero.
I wrote a fuzzer for the unsandboxed x86
emulator in Windows Defender and found arbitrary read/write.
https://t.co/t29mYNwiAL
— Tavis Ormandy (@taviso) 23 de junio de 2017
Según el aviso publicado por Microsoft la vulnerabilidad
puede aprovecharse cuando el Microsoft Malware Protection Engine analiza un
archivo específicamente creado. Este motor de análisis se emplea en Windows
Defender, el analizador de malware preinstalado en Windows 7 y posteriores, así
como en otros productos de seguridad de Microsoft como: Microsoft Security
Essentials, Microsoft Forefront Endpoint Protection 2010, Microsoft Endpoint
Protection y Windows Intune Endpoint Protection.
No es el primer problema similar que anuncian los
investigadores de Project Zero, este es el tercer reporte en menos de dos
meses. Anteriormente Tavis Ormandy ya había reportado un problema y poco
después Mateusz Jurczyk (@j00ru) reportó otras ocho vulnerabilidades.
El parche se está instalando en los productos
configurados con actualizaciones automáticas. Los usuarios pueden comprobar que
la versión es 1.1.13903.0 o posterior. También se puede encontrar información
para la instalación manual desde: https://support.microsoft.com/kb/2510781
Más información:
CVE-2017-8558
| Microsoft Malware Protection Engine Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8558
MsMpEng:
mpengine x86 Emulator Heap Corruption in VFS API https://bugs.chromium.org/p/project-zero/issues/detail?id=1282&desc=2
Fuente: Hispasec.com