Microsoftは3日、マルウェア対策機能「Microsoft Malware Protection Engine」に脆弱性（CVE-2018-0986）が存在することを公表した。すでに脆弱性を修正するアップデートが配信中で、ユーザーが特別な操作をしなくても自動更新される。

同社によると、「Microsoft Malware Protection Engine」v1.1.14600.4以前には、特別に細工されたファイルをスキャンするとリモートでコードが実行される脆弱性が存在するという。Webサイトを表示した際などにスキャンが行われ、脆弱性が悪用される可能性があるとのこと。影響を受ける製品は以下の通りで、深刻度はいずれも“緊急”となっている。

「Windows Defender」

「Microsoft Security Essentials」

「Microsoft Forefront Endpoint Protection 2010」

「Microsoft Exchange Server 2013」

「Microsoft Exchange Server 2016」

「Windows Intune Endpoint Protection」

「Microsoft Malware Protection Engine」が対策済みのv1.1.14700.5以降に更新されていれば脆弱性は修正されている。Windows 10環境の「Windows Defender」の場合は、「設定」アプリの［更新とセキュリティ］－［Windows Defender］セクションにある“エンジンのバージョン”欄で確認可能だ。