ニュース
Microsoftのマルウェアスキャンエンジンにまた脆弱性、修正パッチ公開
Windows 10/8.1/7のWindows Defenderなどに影響
2017年5月31日 16:44
Microsoftは、深刻度“緊急”を含む複数の脆弱性を修正した「Windows Defender」などのセキュリティ修正プログラム(修正パッチ)の提供を開始した。
対象となるのは、Windows 10のバージョン1703/1607/1511/1507、Windows 8.1/RT 8.1/7、Windows Server 2016/2008 R2。Windows Defenderのほか、「Microsoft Security Essentials」「Microsoft Endpoint Protection」「Windows Intune Endpoint Protection」「Microsoft Forefront Endpoint Protection」「Microsoft Exchange Server 2016/2013」の各製品も影響を受ける。デフォルトの設定では、修正パッチは自動的にインストールされる。
脆弱性はCVE番号ベースで「CVE-2017-8535~8542」の8件。うち深刻度が緊急なのは、メモリ破損の問題により、LocalSystemアカウントのセキュリティコンテキストでリモートから任意のコードが実行される可能性のあるもの3件(8538/8540/8541)。残り5件は深刻度が“重要”で、細工されたファイルのスキャンがタイムアウトし、サービスが再起動されるまで影響を受けるサービス拒否の脆弱性(8535/8536/8537/8539/8542)。
いずれも「Microsoft Malware Protection Engine(MPE)」(MsMpEng.exe)のバージョン「1.1.13704.0」以前で、特別に細工されたファイルをスキャンした場合に、脆弱性が悪用される可能性がある。パッチ適用後のバージョンは「1.1.13804.0」となる。
Microsoftでは、リアルタイムの保護が有効になっていれば、細工されたファイルが自動的にスキャンされるとしており、その例として、悪意を持った攻撃者が細工したファイルを、表示しただけで送信されるようウェブサイトに仕込んだり、メールやメッセンジャーに添付したり、MPEによってスキャンされる共有のオンラインサーバーなどにアップロードするといった手法を挙げている。
なお、脆弱性のうち一部は、Googleの研究者であるTavis Ormandy氏が発見、この脆弱性についてGoogle Project Zeroへ5月12日に投稿を行っていた。同氏は5月6日もMPEにおける別の脆弱性について報告を行い、MicrosoftはMPEの修正パッチを5月9日に緊急公開していた。