【安全风险通告】Windows Type 1字体解析远程代码执行漏洞安全风险通告

2024-01-12 08:48
文章标签 windows 安全 漏洞 解析 远程 type 代码执行 风险 字体 通告

本文主要是介绍【安全风险通告】Windows Type 1字体解析远程代码执行漏洞安全风险通告,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交,公告中指出这两枚漏洞已遭在野利用。

鉴于漏洞危害很大,建议客户关注微软通告并采取缓解措施。

奇安信 CERT

漏洞描述

微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库(Adobe Type Manager Library)相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交。

Adobe字体管理库(Adobe Type Manager Library)不正确地处理 Adobe Type 1 PostScript 字体格式时会引发严重的远程代码执行 (RCE) 漏洞。微软官方的安全通告指出这两枚漏洞已遭在野利用。

公告还指出,攻击者利用漏洞的方式有多种,如说服用户打开一个特殊构造的文本或在 Windows 预览窗格中查看该文本。另外,目前已存在一定范围的利用该漏洞的针对性网络攻击。微软目前已推出缓解措施和应变措施,并正在着手推出修复方案。

奇安信代码安全实验室的安全专家指出,该漏洞影响 Windows XP 至 Windows 10的所有系统版本,不过对不同系统版本产生的危害不一样,例如在Windows 7、Windows XP环境下可获得内核权限(危害巨大)、在Windows 10的环境下可获得沙箱内权限(危害小)。

鉴于漏洞危害很大,建议客户关注微软通告并等候补丁更新。


风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)

影响范围

官方描述:

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

奇安信代码安全实验室的安全专家指出Windows XP亦受影响


处置建议

根据微软提供的以下临时缓解措施进行配置:

在Windows资源管理器中禁用预览窗格和详细信息窗格:

在Windows资源管理器中禁用“预览”和“详细信息”窗格将阻止在Windows资源管理器中自动显示OTF字体。虽然这可以防止在Windows资源管理器中查看恶意文件,但不能阻止经过身份验证的本地用户运行特制程序来利用此漏洞。要在Windows Server 2008,Windows 7,Windows Server 2008 R2,Windows Server 2012,Windows Server 2012 R2和Windows 8.1中禁用这些窗格,请执行以下步骤:

1.打开Windows资源管理器,单击“ 组织”,然后单击“ 布局”。

2.清除“ 详细信息”窗格和“ 预览”窗格的菜单选项。

3.单击“ 整理”,然后单击“ 文件夹和搜索选项”。

4.单击查看选项卡。

5.在“ 高级设置”下,选中“ 始终显示图标,从不显示缩略图”框。

6.关闭Windows资源管理器的所有打开的实例,以使更改生效。

对于Windows Server 2016,Windows 10和Windows Server 2019,请执行以下步骤:

1.打开Windows资源管理器,单击“ 查看”选项卡。

2.清除“ 详细信息”窗格和“ 预览”窗格的菜单选项。

3.单击选项,然后单击更改文件夹和搜索选项。

4.单击查看选项卡。

5.在“ 高级设置”下,选中“ 始终显示图标,从不显示缩略图”框。

6.关闭Windows资源管理器的所有打开的实例,以使更改生效。

缓解措施造成的影响:

Windows资源管理器不会自动显示OTF字体。

重命名ATMFD.DLL:

请注意:从Windows 10版本1709开始的Windows 10安装中不存在ATMFD.DLL。较新的版本没有此DLL。有关更多信息,请参见缓解部分。

对于32位系统:

1.管理员权限下使用命令提示符输入以下命令:

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll

2.重新启动系统

对于64位系统:

1.管理员权限下使用命令提示符输入以下命令:

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll

2.重新启动系统

Windows 8.1或更低版本操作系统的可选操作(禁用ATMFD):

注意:不正确地使用注册表编辑器会导致严重的问题,可能需要您重新安装操作系统。Microsoft无法保证可以解决由于注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。有关如何编辑注册表的信息,请在注册表编辑器(Regedit.exe)中查看“更改键和值”帮助主题,或在Regedt32中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

方法1(手动编辑系统注册表):

1.以管理员身份运行regedit.exe。

2.在注册表编辑器中,导航到以下子项(或创建它)并将其DWORD值设置为1:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

3.关闭注册表编辑器,然后重新启动系统。

方法2(使用托管部署脚本):

1.创建一个名为ATMFD-disable.reg的文本文件,其中包含以下文本:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000001

2.运行regedit.exe。

3.在注册表编辑器中,单击“ 文件”菜单,然后单击“ 导入”。

4.浏览并选择您在第一步中创建的ATMFD-disable.reg文件。(请注意,如果未在您期望的位置列出您的文件,请确保是否使用自动为该文件指定.txt文件扩展名,或将对话框的文件扩展名参数更改为All Files)。

5.单击“ 打开”,然后单击“ 确定”关闭注册表编辑器。

缓解措施造成的影响:

依赖嵌入式字体技术的应用程序将无法正确显示。禁用ATMFD.DLL可能会导致某些应用程序使用OpenType字体而无法正常运行。Microsoft Windows不会本地发布任何OpenType字体。但是,第三方应用程序可以安装它们,并且它们可能会受到此更改的影响。

Windows 8.1或更低版本操作系统的可选操作(启用ATMFD):

注意:不正确地使用注册表编辑器会导致严重的问题,可能需要您重新安装操作系统。Microsoft无法保证可以解决由于注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。有关如何编辑注册表的信息,请在注册表编辑器(Regedit.exe)中查看“更改键和值”帮助主题,或在Regedt32中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

方法1(手动编辑系统注册表):

1.以管理员身份运行regedit.exe。

2.在注册表编辑器中,导航到以下子项并将其DWORD值设置为

0:HKLM\Software\Microsoft\Windows  
NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0

3.关闭注册表编辑器,然后重新启动系统。

方法2(使用托管部署脚本):

1.创建一个名为ATMFD-enable.reg的文本文件,其中包含以下文本:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000000

2.运行regedit.exe。

3.在注册表编辑器中,单击“ 文件”菜单,然后单击“ 导入”。

4.导航到并选择您在第一步中创建的ATMFD-enable.reg文件。(请注意,如果未在您期望的位置列出您的文件,请确保未自动为该文件指定.txt文件扩展名,或将对话框的文件扩展名参数更改为All Files)。

5.单击“ 打开”,然后单击“ 确定”关闭注册表编辑器。


参考资料

[1] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006


时间线

2020年3月24日,奇安信 CERT发布安全风险通告

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

                           点个“在看”,一起玩耍

这篇关于【安全风险通告】Windows Type 1字体解析远程代码执行漏洞安全风险通告的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/597338

相关文章

Spring Boot 实现 IP 限流的原理、实践与利弊解析

Spring Boot 实现 IP 限流的原理、实践与利弊解析

《SpringBoot实现IP限流的原理、实践与利弊解析》在SpringBoot中实现IP限流是一种简单而有效的方式来保障系统的稳定性和可用性,本文给大家介绍SpringBoot实现IP限... 目录一、引言二、IP 限流原理2.1 令牌桶算法2.2 漏桶算法三、使用场景3.1 防止恶意攻击3.2 控制资源
阅读更多...
基于Python开发Windows屏幕控制工具

基于Python开发Windows屏幕控制工具

《基于Python开发Windows屏幕控制工具》在数字化办公时代,屏幕管理已成为提升工作效率和保护眼睛健康的重要环节,本文将分享一个基于Python和PySide6开发的Windows屏幕控制工具,... 目录概述功能亮点界面展示实现步骤详解1. 环境准备2. 亮度控制模块3. 息屏功能实现4. 息屏时间
阅读更多...
Java Spring ApplicationEvent 代码示例解析

Java Spring ApplicationEvent 代码示例解析

《JavaSpringApplicationEvent代码示例解析》本文解析了Spring事件机制,涵盖核心概念(发布-订阅/观察者模式)、代码实现(事件定义、发布、监听)及高级应用(异步处理、... 目录一、Spring 事件机制核心概念1. 事件驱动架构模型2. 核心组件二、代码示例解析1. 事件定义
阅读更多...
CSS place-items: center解析与用法详解

CSS place-items: center解析与用法详解

《CSSplace-items:center解析与用法详解》place-items:center;是一个强大的CSS简写属性,用于同时控制网格(Grid)和弹性盒(Flexbox)... place-items: center; 是一个强大的 css 简写属性,用于同时控制 网格(Grid) 和 弹性盒(F
阅读更多...
在Windows上使用qemu安装ubuntu24.04服务器的详细指南

在Windows上使用qemu安装ubuntu24.04服务器的详细指南

《在Windows上使用qemu安装ubuntu24.04服务器的详细指南》本文介绍了在Windows上使用QEMU安装Ubuntu24.04的全流程:安装QEMU、准备ISO镜像、创建虚拟磁盘、配置... 目录1. 安装QEMU环境2. 准备Ubuntu 24.04镜像3. 启动QEMU安装Ubuntu4
阅读更多...
Windows下C++使用SQLitede的操作过程

Windows下C++使用SQLitede的操作过程

《Windows下C++使用SQLitede的操作过程》本文介绍了Windows下C++使用SQLite的安装配置、CppSQLite库封装优势、核心功能(如数据库连接、事务管理)、跨平台支持及性能优... 目录Windows下C++使用SQLite1、安装2、代码示例CppSQLite:C++轻松操作SQ
阅读更多...
python常见环境管理工具超全解析

python常见环境管理工具超全解析

《python常见环境管理工具超全解析》在Python开发中,管理多个项目及其依赖项通常是一个挑战,下面:本文主要介绍python常见环境管理工具的相关资料,文中通过代码介绍的非常详细,需要的朋友... 目录1. conda2. pip3. uvuv 工具自动创建和管理环境的特点4. setup.py5.
阅读更多...
全面解析HTML5中Checkbox标签

全面解析HTML5中Checkbox标签

《全面解析HTML5中Checkbox标签》Checkbox是HTML5中非常重要的表单元素之一,通过合理使用其属性和样式自定义方法,可以为用户提供丰富多样的交互体验,这篇文章给大家介绍HTML5中C... 在html5中,Checkbox(复选框)是一种常用的表单元素,允许用户在一组选项中选择多个项目。本
阅读更多...
基于Python实现一个Windows Tree命令工具

基于Python实现一个Windows Tree命令工具

《基于Python实现一个WindowsTree命令工具》今天想要在Windows平台的CMD命令终端窗口中使用像Linux下的tree命令,打印一下目录结构层级树,然而还真有tree命令,但是发现... 目录引言实现代码使用说明可用选项示例用法功能特点添加到环境变量方法一:创建批处理文件并添加到PATH1
阅读更多...
Python包管理工具核心指令uvx举例详细解析

Python包管理工具核心指令uvx举例详细解析

《Python包管理工具核心指令uvx举例详细解析》:本文主要介绍Python包管理工具核心指令uvx的相关资料,uvx是uv工具链中用于临时运行Python命令行工具的高效执行器,依托Rust实... 目录一、uvx 的定位与核心功能二、uvx 的典型应用场景三、uvx 与传统工具对比四、uvx 的技术实
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2