Компания Microsoft выпустила очередное обновление. На этот раз патч предназначен для исправления критической уязвимости в антивирусном движке, лежащим в основе Windows Defender.
Проблема была обнаружена экспертом из Google Project Zero Тэвисом Орманди. Уязвимость позволяла перехватывать контроль над антивирусным эмулятором в движке MsMpEng.
«MsMpEng имеет собственный эмулятор x86 системы, который используется для запуска недоверенных файлов, похожих на исполняемые PE-файлы. Эмулятор работает как NT AUTHORITY\SYSTEM и не является песочницей. Просматривая список поддерживаемых эмулятором API, я обнаружил элемент ntdll!NtControlChannel, позволяющий эмулируемому коду контролировать эмулятор», – написал Орманди.
Как утверждает исследователь, обнаруженная им уязвимость является достаточно серьезной, о чем он сразу же сообщил компании Microsoft. Результатом скоординированной работы Орманди и специалистов компании стало представленное на прошлой неделе обновление.
Источник http://www.securitylab.ru/
