Microsofts Virenschutz könnte durch eine speziell präparierte Datei – etwa eine angebliche Rechnung als Mail-Anhang oder eine infizierte Web-Seite – lahmgelegt werden. Googles Sicherheits-Experte Tavis Ormandy hat dieses Problem dem Hersteller, der es jetzt mit einem Update beseitigt, vertraulich gemeldet.

Offenbar ist der JavaScript-Interpreter der Protection Engine, mit der dieser verdächtige HTML- beziehungsweise JavaScript-Dateien analysiert, anfällig. Häufig ist JavaScript-Code so verschwurbelt, dass man erst erkennen kann was er eigentlich bezweckt, nachdem die Decodier-Routinen ausgeführt wurden. Weder Microsoft noch Ormandy lassen sich weiter über die genaue Ursache des Fehler aus. Dieser kann jedenfalls dazu führen, dass der Virenschutz, bis der Wächter neu gestartet und die problematische Datei entfernt wurde, lahmgelegt ist.

Der Fehler steckt in der Microsoft Malware Protection Engine, mpengine.dll, die von allen Microsoft-Virenschutzlösungen verwendet wird. Von Microsoft Security Essentials über Windows Defender bis hin zu – im Firmenumfeld bevorzugt im Einsatz – Endpoint Protection und Forefront Client Security. Selbst das Malicious Software Removal Tool (MSRT), welches regelmäßig bei Patchdays aktualisiert und dann auch gestartet wird, war verwundbar. Trotzdem müssen Anwender und Admins nichts tun, denn laut Microsofts Security Advisory 2974294 erfolgt die Installation des Updates automatisiert über die normale Aktualisierung des Virenschutzes.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE