Microsoftのマルウェアスキャンエンジンにまた脆弱性、修正パッチ公開

　Microsoftは、深刻度“緊急”を含む複数の脆弱性を修正した「Windows Defender」などのセキュリティ修正プログラム（修正パッチ）の提供を開始した。

　対象となるのは、Windows 10のバージョン1703/1607/1511/1507、Windows 8.1/RT 8.1/7、Windows Server 2016/2008 R2。Windows Defenderのほか、「Microsoft Security Essentials」「Microsoft Endpoint Protection」「Windows Intune Endpoint Protection」「Microsoft Forefront Endpoint Protection」「Microsoft Exchange Server 2016/2013」の各製品も影響を受ける。デフォルトの設定では、修正パッチは自動的にインストールされる。

　脆弱性はCVE番号ベースで「CVE-2017-8535～8542」の8件。うち深刻度が緊急なのは、メモリ破損の問題により、LocalSystemアカウントのセキュリティコンテキストでリモートから任意のコードが実行される可能性のあるもの3件（8538/8540/8541）。残り5件は深刻度が“重要”で、細工されたファイルのスキャンがタイムアウトし、サービスが再起動されるまで影響を受けるサービス拒否の脆弱性（8535/8536/8537/8539/8542）。

　いずれも「Microsoft Malware Protection Engine（MPE）」（MsMpEng.exe）のバージョン「1.1.13704.0」以前で、特別に細工されたファイルをスキャンした場合に、脆弱性が悪用される可能性がある。パッチ適用後のバージョンは「1.1.13804.0」となる。

　Microsoftでは、リアルタイムの保護が有効になっていれば、細工されたファイルが自動的にスキャンされるとしており、その例として、悪意を持った攻撃者が細工したファイルを、表示しただけで送信されるようウェブサイトに仕込んだり、メールやメッセンジャーに添付したり、MPEによってスキャンされる共有のオンラインサーバーなどにアップロードするといった手法を挙げている。

　なお、脆弱性のうち一部は、Googleの研究者であるTavis Ormandy氏が発見、この脆弱性についてGoogle Project Zeroへ5月12日に投稿を行っていた。同氏は5月6日もMPEにおける別の脆弱性について報告を行い、MicrosoftはMPEの修正パッチを5月9日に緊急公開していた。