{"id":190756,"date":"2017-05-27T05:15:47","date_gmt":"2017-05-27T03:15:47","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190756"},"modified":"2024-10-04T20:30:22","modified_gmt":"2024-10-04T18:30:22","slug":"ms-malware-protection-engine-update-25-mai-2017","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/27\/ms-malware-protection-engine-update-25-mai-2017\/","title":{"rendered":"MS Malware Protection Engine Update 25. Mai 2017"},"content":{"rendered":"

Im Mai 2017 musste Microsoft einige Sicherheitsl\u00fccken in seinen Produkten schlie\u00dfen. So wurde eine kritische L\u00fccke in der Microsoft Malware Protection Engine (MsMpEng) entdeckt und mit einem Sonder-Update geschlossen. Nun ist mir eine Info mit Details in die H\u00e4nde gefallen, was Microsoft mit dem Mai 2017-Update in der MsMpEng an zus\u00e4tzlichen CVS adressiert hat.<\/p>\n

<\/p>\n

\"\"Der Mai 2017 war sicherheitstechnisch ja eine Katastrophe, WannCry und weitere Ransomware adressierten Sicherheitsl\u00fccken in Windows. Der Patchday war recht umfassend (siehe Blogr\u00fcckschau auf die ersten Maiwochen<\/a>) und es gab am 22.5.2017 ein Sonder-Update des Windows Malicious Software Removal Tool KB890830<\/a> ohne weitere Details. Wellen hat auch die, Anfang Mai 2017, in der Microsoft Malware Protection Engine (MsMpEng) entdeckte L\u00fccke geschlagen (siehe Neue kritische Windows-L\u00fccke (in MsMpEng) entdeckt<\/a>). Jetzt gibt es neue Informationen zu diesem Thema.<\/p>\n

Erstes Sicherheits-Update Advisory f\u00fcr MsMpEng<\/h2>\n

Am 8.\/9. Mai 2017 hat Microsoft ja ein Sicherheits-Update Advisory 4022344 Update f\u00fcr die Microsoft Malware Protection Engine ver\u00f6ffentlicht. Microsoft informierte darin die Anwender \u00fcber ein Update der Microsoft Malware Protection Engine. Diese adressiert eine Sicherheitsl\u00fccke (CVE-2017-0290) die an Microsoft berichtet wurde.<\/p>\n

Die Sicherheitsl\u00fccke (CVE-2017-0290) erm\u00f6glicht Remote Code-Ausf\u00fchrung, wenn die Microsoft Malware Protection Engine eine pr\u00e4parierte Datei scannt. Es kommt wohl zu einem Problem in der Scripting Engine, wenn Real Time Protection eingeschaltet ist. Dann scannt die Protection Engine alle Dateien, die z.B. per E-Mail-Anhang auf dem System eintreffen, selbst\u00e4ndig. Andernfalls l\u00e4sst sich die L\u00fccke bei regul\u00e4ren Scans der Dateien ausnutzen. Ein Angreifer, der die Sicherheitsl\u00fccke ausnutzt, kann dann Code mit LocalSystem-Privilegien ausf\u00fchren und die Kontrolle \u00fcber das System \u00fcbernehmen.<\/p>\n

Ich hatte ausf\u00fchrlicher im Blog-Beitrag Sicherheits-Update Advisory f\u00fcr MS Malware Protection Engine<\/a> berichtet. Aber das war wohl noch nicht alles.<\/p>\n

Nachtrag: Microsoft Security Update Releases Mai 2017<\/h2>\n

Nun hat Microsoft die Liste der zus\u00e4tzlich adressierten Sicherheitsl\u00fccken (CVEs) f\u00fcr den Mai 2017 unter dem Titel 'Microsoft Security Update Releases' ver\u00f6ffentlicht. Hier einfach mal die von Microsoft gegebenen Informationen:<\/p>\n

********************************************************************\r\nTitle: Microsoft Security Update Releases\r\nIssued: May 25, 2017\r\n********************************************************************\r\n\r\nSummary\r\n=======\r\n\r\nThe following CVEs have been added to May 2017 release. \r\n\r\n* CVE-2017-8535\r\n* CVE-2017-8536\r\n* CVE-2017-8537\r\n* CVE-2017-8538\r\n* CVE-2017-8539\r\n* CVE-2017-8540\r\n* CVE-2017-8541\r\n* CVE-2017-8542\r\n\r\nRevision Information:\r\n=====================\r\n\r\nCVE-2017-0223\r\n\r\n - CVE-2017-8542 | Microsoft Malware Protection Engine Denial \r\n   of Service Vulnerability\r\n\r\n - CVE-2017-8541 | Microsoft Malware Protection Engine Remote \r\n   Code Execution Vulnerability\r\n\r\n - CVE-2017-8540 | Microsoft Malware Protection Engine Remote \r\n   Code Execution Vulnerability\r\n\r\n - CVE-2017-8539 | Microsoft Malware Protection Engine Denial\r\n   of Service Vulnerability\r\n\r\n - CVE-2017-8538 | Microsoft Malware Protection Engine Remote \r\n   Code Execution Vulnerability\r\n\r\n - CVE-2017-8537 | Microsoft Malware Protection Engine Denial \r\n   of Service Vulnerability\r\n\r\n - CVE-2017-8536 | Microsoft Malware Protection Engine Denial \r\n   of Service Vulnerability\r\n\r\n - CVE-2017-8535 | Microsoft Malware Protection Engine Denial \r\n   of Service Vulnerability \r\n\r\n - https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance<\/a>\r\n - Version: 1.0\r\n - Reason for Revision: Microsoft is releasing this out-of-band CVE \r\n   information to announce that a security update is available for \r\n   the Microsoft Malware Protection Engine. Microsoft recommends \r\n   that customers verify that the update is installed, and if \r\n   necessary, take steps to install the update. For more information \r\n   see the FAQ section\r\n - Originally posted: May 25, 2017  \r\n - Aggregate CVE Severity Rating: Critical\r\n - Version: 1.0<\/pre>\n
Microsoft gibt auch an, dass weitere Informationen im Security Update Guide<\/a> zu finden seien. Beim Schreiben dieses Blog-Beitrags habe ich im Security Update Guide aber nichts zu CVE-2017-0223 sowie den nachfolgenden CVEs gefunden.\u00a0Die nachfolgenden Informationen stammen daher aus anderen Quellen. Erg\u00e4nzung:<\/strong> Die CVEs werden zwischenzeitlich angezeigt – siehe mein Nachtrag weiter unten.<\/p>\n
Die Details aufbereitet<\/h2>\n
CVE-2017-0223 adressiert laut dieser Webseite<\/a> Sicherheitsl\u00fccken im Microsoft Chakra Core:<\/p>\n
A remote code execution vulnerability exists in Microsoft Chakra Core in the way JavaScript engines render when handling objects in memory. aka \"Scripting Engine Memory Corruption Vulnerability\". This vulnerability is unique from CVE-2017-0252.<\/p><\/blockquote>\n
Folgende CVEs werden laut dem Microsoft-Dokument zus\u00e4tzlich durch das Mai-Update der MsMpEng adressiert (die Verlinkungen f\u00fchren auf die CVE-Datenbank).<\/p>\n