【业界】Windows卫士出现严重漏洞，微软现已对其进行了修补

这真是一个可怕的错误！

Windows卫士中的远程代码执行漏洞——可以利用恶意的.rar文件在个人电脑上运行恶意软件。此漏洞可以追溯到微软自己使用的开源存档工具。

在Windows 卫士、Security Essentials、Exchange 服务器、前沿端点保护和Intune端点保护的最新版本的Microsoft恶意软件防护引擎（1.1.14700.5）中，该错误CVE-2018-0986在周二进行了修补。此更新应该已安装，或者已经在您的设备上已经自动安装。

攻击者可以利用这个漏洞在受害者的机器上实现远程代码的执行，只需在反恶意软件引擎的扫描功能打开时，通过网页或电子邮件或类似的方式下载特殊的.rar文件即可下载该标记。在许多情况下，这种分析会自动发生。

当恶意软件引擎扫描恶意的档案时，它会触发一个内存漏洞，导致执行在具有强大本地系统权限的文件中走私的恶意代码，从而对计算机进行完全控制。

这一失误被安全研究人员Halvar Flake发现并报告给微软，他目前正在谷歌工作。Flake可以将漏洞追溯到更老版本的unrar，这是一个用于解压缩.rar档案的开源归档工具。

显然，微软放弃了unrar版本，并将该组件集成到其操作系统的反病毒引擎中。然后修改了forked代码，使所有有符号整数变量都转换为无符号变量，从而在数学比较时引发连锁问题。这使得软件容易受到内存损坏的影响，这些错误会导致反病毒包崩溃，或者允许恶意代码执行。

换句话说，Redmond从一开始就打了一场胜仗。

其中，有位谷歌研究员Tavis Ormandy表示:

总之，用户和管理员应该尽快更新他们的Windows卫士和恶意软件保护引擎的副本。