0PatchW7Pro_smooth

Активно використовувані шрифти Windows, які розбивають помилки, отримують тимчасове виправлення

Поки Microsoft не випустить патч на дві критичні вразливості, що впливають на компонент розбору шрифту у всіх підтримуваних версіях Windows, деякі користувачі можуть застосувати тимчасовий захист у вигляді мікропатчу, що запобігає експлуатації.

Два недоліки впливають на бібліотеку Adobe Type Manager (підтримується Microsoft) і містяться в драйвері шрифтів ATMFD.DLL, який обробляє шрифти Adobe Type 1 PostScript і OpenType.

Використання їх у системах раніше Windows 10 може призвести до віддаленого виконання коду з підвищеними привілеями. Microsoft знає про загрозливих суб'єктів, які їх використовують у цілеспрямованих атаках на старіші версії операційної системи.

Працює проти віддалених нападників

Мікрокод, що зменшує ризик експлуатації, доступний Windows 7 64-розрядні та Windows Server 2008 R2, які не користуються розширеними оновленнями безпеки Microsoft (ESU). Він доставляється автоматично через 0Patch платформа - як для платників, так і для користувачів, які не платять - і їх можна застосовувати без перезавантаження машини.

Таким чином, наразі найменш підтримувана операційна система Microsoft, яка отримує тимчасове виправлення помилок для розбору шрифтів компанії оприлюднені 23 березня.

In Windows 10 v1709, розбір шрифту відбувається в ізольованому просторі, що ускладнює експлуатацію. Однак у попередніх версіях це відбувається в ядрі, надаючи зловмисникам можливість запускати код з найвищими привілеями.

Виправлення 0Patch стане доступним для Windows 7 і Windows Server 2008 R2 з ESU, Windows 8.1 та Windows Server 2012, як 32-розрядні, так і 64-бітні.

Слід зазначити, що ці вразливості можуть бути використані віддаленим противником, і цей вектор загрози - це те, від чого захищає мікропатч. Місцевий зловмисник може обійти виправлення 0Patch, записавши код, який здійснює системні дзвінки до ядра.

Видимі ефекти

В блог у четвер Мітя Колсек, генеральний директор компанії Acros Security, що стоїть за 0Patch, надає повний код мікропатча та пояснює, як він працює.

«Якщо цей мікропатч на місці, усі програми, що використовують Windows GDI для операцій, пов’язаних із шрифтом, знайдуть будь-які шрифти PostScript шрифту Adobe Type 1, які невідомі та не можуть завантажити» Мітя Колсек

В основному, Провідник Windows більше не показуватиме попередній перегляд файлу шрифту .PFM та .PFB після застосування тимчасового виправлення. Гліфи не відображатимуться на панелі попереднього перегляду як мініатюри або на панелі деталей.

Інші типи шрифтів, які не розбираються з уразливим компонентом, залишаються без змін.

Microsoft надала три способи вирішення, які можуть пом'якшити проблему, кожен зі своїми перевагами та недоліками:

обхідний шлях Застосовність
Вимкніть панель попереднього перегляду та панелі деталей у Windows Explorer Працює в усіх системах, але не зменшить проблему, якщо ви відкриєте документ із вразливим класом шрифтів
Вимкніть сервіс WebClient Працює в усіх системах, але не зменшить проблему, якщо ви відкриєте документ із вразливим класом шрифтів
Перейменуйте ATMFD.DLL Працює лише на старих (раніше Windows 10), але повністю пом'якшує проблему, хоча може вносити проблеми юзабіліті у рідкісних випадках

Нижче - відео, що показує, як Windows поводиться з мікрокодом 0Patch та без нього:

Залишити коментар