这真是一个可怕的错误!
Windows卫士中的远程代码执行漏洞——可以利用恶意的.rar文件在个人电脑上运行恶意软件。此漏洞可以追溯到微软自己使用的开源存档工具。
在Windows 卫士、Security Essentials、Exchange 服务器、前沿端点保护和Intune端点保护的最新版本的Microsoft恶意软件防护引擎(1.1.14700.5)中,该错误CVE-2018-0986在周二进行了修补。此更新应该已安装,或者已经在您的设备上已经自动安装。
攻击者可以利用这个漏洞在受害者的机器上实现远程代码的执行,只需在反恶意软件引擎的扫描功能打开时,通过网页或电子邮件或类似的方式下载特殊的.rar文件即可下载该标记。在许多情况下,这种分析会自动发生。
当恶意软件引擎扫描恶意的档案时,它会触发一个内存漏洞,导致执行在具有强大本地系统权限的文件中走私的恶意代码,从而对计算机进行完全控制。
这一失误被安全研究人员Halvar Flake发现并报告给微软,他目前正在谷歌工作。Flake可以将漏洞追溯到更老版本的unrar,这是一个用于解压缩.rar档案的开源归档工具。
显然,微软放弃了unrar版本,并将该组件集成到其操作系统的反病毒引擎中。然后修改了forked代码,使所有有符号整数变量都转换为无符号变量,从而在数学比较时引发连锁问题。这使得软件容易受到内存损坏的影响,这些错误会导致反病毒包崩溃,或者允许恶意代码执行。
换句话说,Redmond从一开始就打了一场胜仗。
其中,有位谷歌研究员Tavis Ormandy表示:
总之,用户和管理员应该尽快更新他们的Windows卫士和恶意软件保护引擎的副本。