Nul
Microsoft siger, at den nye regel betyder, at brugerne kører ikke-overensstemmende tredjeparts antivirus vil ikke være beskyttet af sin fremtidige patches.
Billede: CNET
Microsoft vil ikke lade dig installere fremtidige sikkerhedsopdateringer indtil din leverandør af antivirussoftware indstiller en specifik nøgle i registreringsdatabasen, der attesterer, kompatibilitet med Windows.
Som en del af denne uges sikkerhedsopdateringer til Nedsmeltning og Spectre CPU angreb, Microsoft krævede, at alle tredje-parts antivirus-leverandører bekræfte kompatibilitet med sin CPU, rettelser og derefter at sætte en nøgle i registreringsdatabasen i deres produkter for at certificere kompatibilitet. Uden at nøglen er sat, Microsofts security update simpelthen ikke vil installere.
Microsoft har nu præciseret, at denne nye regel vil gælde for alle fremtidige sikkerhedsopdateringer og betyder, at brugerne kører ikke-overensstemmende tredjeparts antivirus vil ikke være beskyttet af Microsofts fremtidige patches.
“Kunderne vil ikke modtage januar 2018 sikkerhedsopdateringer (eller enhver efterfølgende sikkerhedsopdateringer) og ikke vil være beskyttet mod sikkerhedshuller, medmindre deres antivirusprogram, indstiller følgende nøgle i registreringsdatabasen”, Microsofts opdateret support side noter.
Under test af patches for de to angreb, Microsoft opdagede, at nogle antivirus havde været at lave “ikke-understøttet opkald i Windows kernel memory” for at stoppe en maskine booter eller blue screen of death (BSOD) er fejl efter plasteret er anvendt. For at undgå dette problem, den har indført de nye regler.
Sikkerhed forsker Kevin Beaumont har udarbejdet en liste over antivirus-produkter, der er både kompatibel med Microsoft ‘ s CPU opdatering og have det krævede Windows nøgle i registreringsdatabasen er indstillet korrekt. Som ZDNet rapporteret tidligere i denne uge, nogle leverandører gør begge dele, mens andre har kun bekræftet kompatibilitet.
Det lader dog til, at konventionelle antivirus produkter, der opfylder begge krav, mens næste generation af sikkerheds produkter, har kun bekræftet kompatibilitet.
Beaumont forklarer Microsoft ved hjælp af den nye certificering for at forhindre, at antivirus-leverandører uden om Microsoft ‘ s Kernel Patch Protection, som det blev indført i 2007, til forsvar mod rootkits.
Som han bemærker, bypass-teknik, nogle leverandører bruger, er på samme måde, rootkits arbejde, som omfatter injektion af deres produkt i en Windows-hypervisor til at aflytte system opkald til hukommelse steder, at Microsoft har ændret sig i svar til Nedsmeltning angreb.
“Fordi nogle antivirus-leverandører er ved hjælp af meget tvivlsom teknikker, de ender med at [årsag] – systemer til blå skærm af død — aka komme ind genstart sløjfer. Dette burde ikke være muligt i de seneste operativsystemer, men nogle antivirus-leverandører har formået det ved at tage sig selv til hypervisor… Antivirus-producenter burde virkelig ikke være at rode med systemer som dette.”
Han skønner, at der er fem centrale leverandører, der bruger denne teknik. I øjeblikket er listen af fuldt kompatibel antivirus omfatter i øjeblikket Avast, AVG, Avira, Bitdefender, ESET, F-Secure, Kaspersky, Malwarebytes, Sophos og Symantec. McAfee, Trend Micro, og Webroot er blandt de virksomheder, der vil snart slutte sig til denne gruppe.
Men next-gen sikkerhed-udbydere, herunder CrowdStrike, Cylance, FireEye, og Palo Alto Networks har kun bekræftet kompatibilitet, men hidtil ikke har været villige til at sætte den særlige nøgle i registreringsdatabasen.
Next-gen-udbydere hævder, at de er ikke angive registreringsdatabasenøglen, fordi de ikke ønsker at risikere at skabe en BSOD i tilfælde af, at en kunde har også en anden antivirus-software installeret.
Et problem med next-gen-udbydere ikke at angive registreringsdatabasenøglen er, at deres produkter bruges til at blive solgt som et supplement til de etablerede antivirus, men er nu ved at blive solgt som den primære antivirus.
Så kunder, der har gjort, at kontakten skal indstilles manuelt i registreringsdatabasen nøgle for at installere de opdateringer, noget, som Microsoft siger, må kun udføres med stor forsigtighed.
Tidligere og relaterede dækning
Windows Nedsmeltning-Spectre rettelse: Hvordan til at kontrollere, hvis din AV-blokering Microsoft-patch
Antivirus firmaer spille patch catch-up, som Microsoft frigiver Nedsmeltning firmware-opdateringer til Surface-enheder.
Windows Nedsmeltning-Spectre patches: Hvis du ikke har fået dem, bebrejde din antivirus
Microsoft siger, at din antivirus-software, der kunne stoppe dig fra at modtage nødhjælp patches, der er udstedt til Windows.
Kritiske fejl afslørede at påvirke de fleste Intel-chips siden 1995
De fleste Intel-processorer og nogle ARM-chips er bekræftet til at være sårbare, lægger milliarder af enheder, der har risiko for angreb. En af sikkerhed forskere siger, at de fejl, er “kommer til at hjemsøge os i år.”
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0