Antivirus: Microsoft bringt Extra-Patch für kritische Lücke in Defender
Erneut trifft es Windows Defender: Ein Speicherfehler kann Angreifer in die Lage versetzen, den Virenscanner zum Ausführen von Code zu nutzen. Microsoft hält aktive Exploits allerdings für unwahrscheinlich, Patches werden verteilt.

Microsoft hat eine kritische Schwachstelle in der hauseigenen Antivirensoftware Windows Defender gepatcht. Angreifer sollen in der Lage gewesen sein, mit Hilfe einer speziell präparierten Datei beliebigen Code auszuführen. Patches werden automatisch verteilt.
Ein Angreifer muss den Virenscanner dazu bringen, eine bestimmte Datei zu scannen, die dann den Exploit triggert. Das könnte eine auf einer Webseite mitgelieferte Datei sein oder ein E-Mail-Anhang - dieser müsste dann in der Regel aber vom Benutzer geöffnet werden. Nach Angaben von Microsoft würden Dateien zudem automatisch gescannt, wenn der Echtzeitschutz der Software aktiviert wird.
Angreifer können Code ausführen
Angreifer können Code "im Sicherheitskontext des LocalSystem-Accounts" ausführen. Dieser erste Angriff könnte dann genutzt werden, um Persistenz auf einem System zu erlangen und Malware nachzuladen. Nach Angaben von Microsoft sind derzeit keine aktiven Angriffe bekannt, die Ausnutzbarkeit der Sicherheitslücke bewertet das Unternehmen als gering.
Bei dem durch den Exploit getriggtern Fehler soll es sich um ein fehlerhaftes Speichermanagement handeln. Weitere Details sind derzeit nicht bekannt. Betroffen sind Windows Defender, Microsoft Endpoint Protection, Microsoft Exchange Server, Microsoft Forefront Endpoint Protection und Microsoft Security Essentials. Die Sicherheitslücke ist mit der Nummer CVE-2017-11937 bezeichnet. Updates werden von Microsoft automatisch verteilt, können aber auch manuell angestoßen werden. Nutzer sollten darauf achten, nur noch die Version 1.1.14405.2 zu verwenden.
Im Mai dieses Jahres hatte Googles Project Zero bereits mehrere kritische Schwachstellen in der Software gefunden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Nicht nur manuell. Es gibt sehr viele Admins die erstmal alle Updates grundsätzlich...