漏洞简介
周一,微软发布了一个新的安全公告,提醒数十亿Windows用户——两个新的未修复的0day漏洞将被黑客利用,进行远程控制目标计算机
目前,这两个漏洞已经被黑客利用,对所有尚处于支持状态的Windows设备发起了攻击,而且,目前还没有针对该漏洞的安全补丁,微软承认该漏洞数据“严重”级别,该漏洞存在于Windows处理和渲染字体中
漏洞详情
两个漏洞位于WindowsAdobe Type ManagerLibrary中,这是一种字体解析软件,不仅可以在使用第三方软件时解析内容,还可以在无需用户打开文件的情况下被Windows资源管理器用来在“预览窗格”或“详细信息窗格”中显示文件的内容。
漏洞主要源于Adobe Type Manager Library不当地处理了特制的多主体字体(Adobe Type1 PostScript格式),从而允许远程攻击者诱使用户打开特制文档或在Windows预览窗格中查看文档,以此来在目标系统上执行任意恶意代码。
目前尚不清楚这个漏洞会否被含有特制恶意OTF字体的网页触发,但攻击者可以通过多种其他方式利用这两个漏洞,例如通过Web分布式创作和版本控制(WebDAV)客户端服务。
此外,据Microsoft提供的信息,在运行受支持的Windows 10版本设备上,成功利用这两个0day漏洞只导致在权限有限且功能有限的AppContainer沙箱上下文中执行代码。
影响版本
Windows操作系统中所有受支持的版本,包括Windows 10、Windows 8.1、WindowsServer 2008/2012/2016/2019版本,甚至已经停止的Windows 7版本
漏洞修复
微软目前正在研究开发补丁,预计4月14日发布,补丁发布之前,可通过以下方式缓解:
- 在Windows中禁用预览窗格和详细信息窗格(禁用后,Windows资源管理器将不会自动显示OpenType字体)
Windows预览窗格是一个很方便的功能,可以在不打开文件的情况下,预览文件内容
禁用很简单,打开运行,输入gpedit.msc,打开本地组策略编辑器,找到用户配置——管理模块——Windows组件——文件管理器——Explorer 框架窗格,就可以关闭了
- 禁用WebClient服务(禁用后,将阻止Web分布式创作和版本控制客户端服务)
重命名ATMFD.DLL(Adobe Type Manager字体驱动程序的文件名)
以上只是缓解措施,但仍面临被攻击的可能,所以需要注意日常使用行为,不确定的程序、文件,不要打开。
