[English]Der Microsoft Defender ATP scheint nach Berichten von Benutzern die letzten 88er-Versions-Updates des Google Chrome-Browsers fälschlich als Schadsoftware eingestuft und in Quarantäne geschoben zu haben. Das Problem soll jetzt aber durch eine neue Signaturdatei behoben zu sein.
Anzeige
Beim Microsoft Defender ATP handelt es sich um die kommerzielle Version der Sicherheitslösung, die nur in Firmenumgebungen mit bestimmten Enterprise-Lizenzen eingesetzt werden kann. Genau dort scheint es aber am gestrigen Tag Probleme mit Updates des Google Chrome-Browsers in der Version 88 gekommen zu sein. Ich bin bereits vor einigen Stunden auf diesen Hinweis gestoßen, den diverse Administratoren auf Twitter und im Web beklagen.
Betroffen sind die Updates für Google Chrome auf die Versionen v88.0.4324.104 (vom 19. Januar 2021) bis v88.0.4324.146 (vom 3. Februar 2021), die als PHP/Funvalget.A-Backdoor eingestuft werden.
ZDNet berichtet erstmals in dem in obigem Tweet verlinkten Artikel für den Vorfall. Ein dort gezeigter Screenshot deutet darauf hin, dass die Chrome-Sprachdatei sl.pak (solvenische Sprachanpassung) im Installer als Backdoor eingestuft wird. Der Microsoft Defender für Endpoint, der im Paket enthalten ist, blockiert dann die erkannten Dateien automatisch und schiebt diese in Quarantäne. Mit anderen Worten: Der Google Chrome Browser bekommt seit der zum 19. Januar 2021 freigegebenen Version v88.0.4324.104 keine Updates mehr.
Anzeige
Inzwischen hat Microsoft diesen Fehlalarm wieder behoben und Bleeping Computer zitiert einen Speicher mit: "We've corrected an automation error that incorrectly classified the installation package as malware." System-Administratoren sollten in einer administrativen Eingabeaufforderung die Befehle:
cd %ProgramFiles%\Windows Defender
MpCmdRun.exe -removedefinitions -dynamicsignatures
MpCmdRun.exe -SignatureUpdate
ausführen, um die Signaturen des Defender zu aktualisieren. Dann sollte der Fehlalarm wieder weg sein. War jemand von euch von diesem Vorfall betroffen?
Anzeige
Ich würde Chrome mindestens als PUP (possibly unwanted program) einstufen.
Sie bezahlen mit Ihren Daten!
Zur Info:
Wenn ihr mal andere "False positive" Meldungen bekommt, dann könnt Ihr es hier an Microsoft melden: https://www.microsoft.com/en-us/wdsi/filesubmission
In der Regel wird dies dann innerhalb weniger Stunden geprüft und behoben.