Windows Defender nulles dienas ievainojamības labojums var izraisīt cietā diska piepildīšanu
Microsoft trešdien izlaida atjauninājumu, kas novērš kritisku Defender drošības dzinēja ievainojamību, taču pētnieks brīdina, ka labojums var izraisīt diska vietas izsīkumu, ierakstot milzīgus datu apjomus.

Pētnieks, kurš darbojas ar pseidonīmu NightmareEclipse, atklājis, ka Microsoft jaunākais Windows Defender atjauninājums, kas paredzēts nulles dienas ievainojamības novēršanai, var izraisīt nevēlamu blakusefektu – pilnīgu cietā diska aizpildīšanu. Šī ievainojamība, kas reģistrēta kā CVE-2026-50656 un dēvēta par RoguePlanet, ļāva attālinātiem uzbrucējiem iegūt pilnu administratīvo kontroli pār Windows 10 un Windows 11 datoriem, pat ja reāllaika aizsardzība bija izslēgta.
Microsoft trešdien izlaida labojumu caur Microsoft Malware Protection Engine atjauninājumu, kas tiek automātiski lejupielādēts un instalēts lietotājiem. Atjauninājumā iekļauti arī “defense-in-depth” uzlabojumi, kas paredzēti drošības stiprināšanai. Tomēr NightmareEclipse ceturtdien publicētajā ziņojumā norādīja, ka šie uzlabojumi var radīt situāciju, kurā Windows Defender sāk rakstīt neierobežota izmēra failus, pakāpeniski aizpildot visu pieejamo diska vietu.
Problēma rodas mpengine.dll draiverī, kas saistīts ar Microsoft Malware Protection Engine – atverot failu, notiek 8 baitu datu noplūde. Savu lomu spēlē arī SpyNet mākoņpakalpojums, kas parasti palīdz sūtīt ziņojumus par aizdomīgu programmatūru. Defender parasti ierobežo failu lielumu skenēšanas un karantīnas laikā, lai nepieļautu diska vietas izsīkšanu. Tomēr pētnieks atklāja izņēmumu – SpyNet funkcijas mpengine.dll mēģina saglabāt lokālu Zone.Identifier ADS faila kopiju neatkarīgi no tā izmēra, tādējādi ļaujot aizpildīt disku.
Šī ir jau vairākā nulles dienas ievainojamība, ko NightmareEclipse publiskojis pēdējos mēnešos, liekot Microsoft steigšus izstrādāt labojumus. Lietotājiem ieteicams pārbaudīt, vai viņu Defender atjauninājumi ir instalēti, un uzraudzīt brīvo diska vietu.

