轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-2017-0050

微軟自 Windows 7 版本起內建 Windows Defender 程式，藉由即時監控、阻擋、隔離或刪除惡意程式功能，保護電腦免於惡意程式危害。本次存在漏洞之惡意程式防護引擎(Microsoft Malware Protection Engine ，簡稱 MsMpEng)為 Windows Defender 核心元件，亦是 Microsoft Forefront 與 Microsoft Security Essentials 等微軟安全產品的核心元件。MsMpEng 中負責掃描與分析的核心元件稱為 mpengine，其中 NScript 是 mpengine 的元件，用於檢測任何看起來像是 JavaScript 的文件。 

Google Project Zero 成員 Tarvis Ormandy 與 Natalie Silvano 發現 MsMpEng 1.1.13701.0(含)以前的版本，如果系統啟用即時保護（預設開啟）功能，攻擊者透過傳送特製檔案， MsMpEng 自動掃描該檔案時，因 NScript 無法正確的解析檔案，導致攻擊者可透過檔案中的 JavaScript 程式碼利用該漏洞執行任意程式碼，進而獲取系統控制權。 

此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發

Microsoft Forefront Endpoint Protection 2010 
Microsoft Endpoint Protection 
Microsoft Forefront Security for SharePoint Service Pack 3 
Microsoft System Center Endpoint Protection 
Microsoft Security Essentials 
Windows Defender for Windows 7 
Windows Defender for Windows 8.1 
Windows Defender for Windows RT 8.1 
Windows Defender for Windows 10, Windows Server 2016 
Windows Intune Endpoint Protection 

1.微軟官方已針對此弱點釋出修補程式，其修補方式為更新惡意程式防護引擎為 1.1.13704.0 版，請參考微軟官方網頁(https://technet.microsoft.com/en-us/library/security/4022344)。 
2.建議儘速進行檢查與更新，例如 Windows 7 之 Windows Defender 惡意程式防護引擎版本之更新方式如下： 
(1)開啟控制台。 
(2)選擇「Windows Defender」。 
(3)於上方工具列，點選最右邊的「說明選項」。 
(4)選擇「關於 Windows Defender」，即可看到引擎版本。 
(5)如為 1.1.13701.0(含)以前的版本，可從「說明選項」中點選「檢查更新」即可將引擎版本更新至最新版本。 
3.其他受影響之微軟安全產品檢查與更新方式，請參閱參考資料所述。 

1. https://technet.microsoft.com/en-us/library/security/4022344 
2. https://support.microsoft.com/en-us/help/2510781/microsoft-malware-protection-engine-deployment-information 
3. http://www.ithome.com.tw/news/114074