微软安全通告 4022344

发布日期： 2022年10月15日

微软恶意软件防护引擎安全更新

发布时间： 2017年5月8日 | 更新时间： 2017年5月12日
版本： 1.2

执行摘要

微软发布此安全通告是为了告知客户，微软恶意软件防护引擎的更新解决了一个已向微软报告的安全漏洞。

此更新解决了当微软恶意软件防护引擎扫描特制文件时可能允许远程代码执行的漏洞。成功利用此漏洞的攻击者可以在LocalSystem账户的安全上下文中执行任意代码并控制系统。

微软恶意软件防护引擎随多个微软反恶意软件产品一起提供。有关受影响产品的列表，请参阅“受影响软件”部分。微软恶意软件防护引擎的更新随受影响产品的更新恶意软件定义一起安装。企业安装的管理员应遵循其建立的内部流程，确保在其更新管理软件中批准定义和引擎更新，并且客户端相应地使用这些更新。

通常，企业管理员或最终用户无需采取任何操作来安装微软恶意软件防护引擎的更新，因为内置的自动检测和部署更新机制将在发布后48小时内应用更新。具体时间范围取决于所使用的软件、互联网连接和基础设施配置。

此通告中的信息也可在CVE-2017-0290引用的安全更新指南中找到。

通告详情

问题参考

有关此问题的更多信息，请参阅以下参考：

*如果您的微软恶意软件防护引擎版本等于或高于此版本，则您不受此漏洞影响，无需采取任何进一步操作。有关如何验证软件当前使用的引擎版本号的更多信息，请参阅Microsoft知识库文章2510781中的“验证更新安装”部分。

受影响软件

以下软件版本或版本受到影响。未列出的版本或版本要么已超过其支持生命周期，要么不受影响。要确定软件版本或版本的支持生命周期，请参阅Microsoft支持生命周期。

可利用性指数

下表提供了本月解决的每个漏洞的可利用性评估。漏洞按公告ID然后CVE ID的顺序列出。仅包括公告中严重性等级为严重或重要的漏洞。

通告常见问题解答

微软是否发布安全公告来解决此漏洞？
不。微软发布此信息性安全通告是为了告知客户，微软恶意软件防护引擎的更新解决了一个已向微软报告的安全漏洞。

为什么安装此更新不需要任何操作？
为了应对不断变化的威胁形势，微软经常更新恶意软件定义和微软恶意软件防护引擎。为了有效帮助防范新的和流行的威胁，反恶意软件必须及时更新这些更新。

对于企业部署和最终用户，微软反恶意软件软件的默认配置有助于确保恶意软件定义和微软恶意软件防护引擎自动保持最新。产品文档还建议将产品配置为自动更新。

最佳实践建议客户定期验证软件分发（例如微软恶意软件防护引擎更新和恶意软件定义的自动部署）在其环境中是否按预期工作。

微软恶意软件防护引擎和恶意软件定义的更新频率是多少？
微软通常每月发布一次微软恶意软件防护引擎的更新，或根据需要发布以防范新威胁。微软通常还每天更新恶意软件定义三次，并可在需要时增加频率。

根据所使用的微软反恶意软件软件及其配置方式，该软件在连接到互联网时可能每天搜索引擎和定义更新，最多每天多次。客户还可以随时选择手动检查更新。

如何安装更新？
有关如何安装此更新的详细信息，请参阅"建议操作"部分。

什么是微软恶意软件防护引擎？
微软恶意软件防护引擎mpengine.dll为微软防病毒和反间谍软件提供扫描、检测和清理功能。

此更新是否包含任何额外的安全相关功能更改？
是。除了为此漏洞列出的更改外，此更新还包括深度防御更新，以帮助改进安全相关功能。

在哪里可以找到有关微软反恶意软件技术的更多信息？
有关更多信息，请访问微软恶意软件防护中心网站。

微软恶意软件防护引擎远程代码执行漏洞 - CVE-2017-0290

当微软恶意软件防护引擎未正确扫描特制文件导致内存损坏时，存在远程代码执行漏洞。

成功利用此漏洞的攻击者可以在LocalSystem账户的安全上下文中执行任意代码并控制系统。然后，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

要利用此漏洞，受影响的微软恶意软件防护引擎版本必须扫描特制文件。攻击者可以通过多种方式将特制文件放置在微软恶意软件防护引擎扫描的位置。例如，攻击者可以使用网站将特制文件传送到受害者的系统，当用户查看网站时扫描该文件。攻击者还可以通过电子邮件或即时消息传递特制文件，在打开文件时扫描。此外，攻击者可以利用接受或托管用户提供内容的网站，将特制文件上传到共享位置，由托管服务器上运行的恶意软件防护引擎扫描。

如果受影响的反恶意软件软件启用了实时保护，微软恶意软件防护引擎将自动扫描文件，导致在扫描特制文件时利用漏洞。如果未启用实时扫描，攻击者需要等待计划扫描发生才能利用漏洞。所有运行受影响版本的反恶意软件软件的系统主要面临风险。

该更新通过纠正微软恶意软件防护引擎扫描特制文件的方式来解决漏洞。

微软通过协调漏洞披露收到了有关此漏洞的信息。

微软在最初发布此安全通告时，未收到任何信息表明此漏洞已被公开用于攻击客户。

建议操作

验证更新是否安装

客户应验证其微软反恶意软件产品是否正在主动下载和安装最新版本的微软恶意软件防护引擎和定义更新。

有关如何验证软件当前使用的微软恶意软件防护引擎版本号的更多信息，请参阅Microsoft知识库文章2510781中的"验证更新安装"部分。

对于受影响的软件，验证微软恶意软件防护引擎版本是否为1.1.13704.0或更高版本。

如有必要，安装更新

企业反恶意软件部署的管理员应确保其更新管理软件配置为自动批准和分发引擎更新和新的恶意软件定义。企业管理员还应验证最新版本的微软恶意软件防护引擎和定义更新是否在其环境中被主动下载、批准和部署。

对于最终用户，受影响的软件提供了内置机制来自动检测和部署此更新。对于这些客户，更新将在可用后48小时内应用。具体时间范围取决于所使用的软件、互联网连接和基础设施配置。不希望等待的最终用户可以手动更新其反恶意软件。

有关如何手动更新微软恶意软件防护引擎和恶意软件定义的更多信息，请参阅Microsoft知识库文章2510781。

致谢

微软感谢以下人员与我们合作帮助保护客户：

• Google Project Zero的Natalie Silvanovich和Tavis Ormandy

其他信息

Microsoft Active Protections Program (MAPP)

为了改进客户的安全保护，微软在每个月的安全更新发布之前向主要的安全软件提供商提供漏洞信息。然后，安全软件提供商可以使用此漏洞信息通过其安全软件或设备（例如防病毒、基于网络的入侵检测系统或基于主机的入侵防御系统）向客户提供更新的保护。要确定是否有来自安全软件提供商的活动保护，请访问计划合作伙伴提供的活动保护网站，列在Microsoft Active Protections Program (MAPP) Partners中。

反馈

您可以通过填写Microsoft帮助和支持表单、客户服务联系我们提供反馈。

支持

美国和加拿大的客户可以从安全支持获得技术支持。有关更多信息，请参阅Microsoft帮助和支持。 国际客户可以从当地的微软子公司获得支持。有关更多信息，请参阅国际支持。 Microsoft TechNet Security提供有关Microsoft产品中安全性的更多信息。

免责声明

本通告中提供的信息"按原样"提供，不作任何明示或暗示的担保。微软否认所有明示或暗示的担保，包括适销性和特定用途适用性的担保。在任何情况下，微软公司或其供应商均不对任何损害承担任何责任，包括直接、间接、附带、后果性、商业利润损失或特殊损害，即使微软公司或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任，因此上述限制可能不适用。

修订版本

• V1.0（2017年5月8日）：通告发布。
• V1.1（2017年5月11日）：添加了指向安全更新指南中相同信息的链接。这仅是信息性更改。
• V1.2（2017年5月12日）：在受影响软件表中添加了条目。这仅是信息性更改。

页面生成于2017年6月14日 10:20-07:00。