Для уязвимостей нулевого дня в Windows выпущен микропатч

Для уязвимостей нулевого дня в Windows выпущен микропатч

Микропатч будет доставлен автоматически через платформу 0Patch и его можно применить без перезагрузки системы.

До тех пор, пока Microsoft не выпустит исправление для двух уязвимостей нулевого дня, затрагивающих компонент синтаксического анализа во всех поддерживаемых версиях Windows, пользователи могут применить временную защиту в виде микропатча, предотвращающего эксплуатацию.

Проблемы содержатся в библиотеке Adobe Type Manager (atmfd.dll), используемой ОС для обработки шрифтов PostScript Type 1 и OpenType. Их эксплуатация позволяет злоумышленнику удаленно выполнить код с повышенными привилегиями.

В настоящее время микропатч от 0Patch доступен для версий Windows 7 и Windows Server 2008 R2 без расширенной поддержки Extended Security Updates (ESU). В будущем микропатч будет доступен для версий Windows 7 и Windows Server 2008 R2 с расширенной поддержкой, а также для Windows 8.1 и Windows Server 2012. Он будет доставлен автоматически через платформу 0Patch и его можно применить без перезагрузки системы.

В Windows 10 (1709) парсинг шрифтов происходит в изолированном пространстве, затрудняя эксплуатацию. Однако в более ранних версиях данный процесс происходит в ядре, предоставляя злоумышленникам возможность выполнять код с самыми высокими привилегиями. Скорее всего, микропатч не будет доступен для Windows 10, так как риск эксплуатации данных уязвимостей гораздо ниже.

«С данным микропатчем все приложения, использующие Windows GDI для операций со шрифтами будут воспринимать любые шрифты Adobe Type 1 PostScript, как недействительные и недоступные для загрузки», — сообщил соучредитель 0patch Митя Колсек (Mitja Kolsek).

Windows Explorer больше не будет отображать предварительный просмотр файла шрифтов .PFM и .PFB после применения временного исправления. Глифы не будут отображаться в панели предварительного просмотра «Область просмотра» (Preview Pane) в виде миниатюр изображений и в «Области сведений» (Details Pane).

Microsoft предоставила три меры предотвращения эксплуатации уязвимости, каждая из которых имеет свои преимущества и недостатки:

  1. Отключить «Область просмотра» и «Область сведений» в проводнике Windows (работает на всех системах, но не устранит проблему, если открыть документ с классом уязвимых шрифтов).

  2. Отключить службу WebClient (работает на всех системах, но не устранит проблему, если открыть документ с классом уязвимых шрифтов).

  3. Переименовать библиотеку ATMFD.DLL (работает только версиях старше Windows 10, но полностью устраняет проблему).

0Patch также опубликовала видеоролик с демонстрацией работы Windows с микропатчем и без него:


Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!