吳明宜Windows 爆出兩個重大零時差 RCE 漏洞 已有攻擊發生
微軟今天發佈最新安全公告警告 Windows 用戶,有兩個重大零時差漏洞讓駭客得以遠端接管電腦,但是要等到下個月才會有修補程式。
微軟指出,兩個漏洞皆已發生「有限的精準攻擊」,所有版本皆受影響,包含 Windows 10, 8.1、Server 2008、2012、2016、2019、和已經不再被支援的 Windows 7。
兩個漏洞皆來自 Windows Adobe Type Manager Library,它是 Windows 內建的文字解析軟體,不只用於軟體第三方軟體,也可用於檔案總管的「預覽窗格」或「詳細資訊窗格」功能,不用開啟即可顯示檔案內容。
這些漏洞出在 Adobe Type Manager Library 處理 Adobe Type 1 PostScript 字型不當,而使遠端駭客可以欺騙用戶開啟特意改造的文件,或是以檔案總管預覽,在目標電腦上執行任意程式碼。
但微軟說,在 Windows 10 電腦上,成功的攻擊只會造成程式碼在 AppContainer 沙箱內以有限權限及功能執行。
目前還不知這些漏洞是否可以連結有惡意 OpenType 字型的網站,在 Web 上遠端觸發,不過還有其他方法可以發動攻擊,像是透過 WebDAV(Web Distributed Authoring and Versioning)用戶端服務。
微軟表示已經發現攻擊情形,正在開發修補程式,預計要到 4 月 14 日的下個月 Patch Tuesday 釋出。
在修補程式來到之前,微軟建議 Windows 用戶透過幾個方法保護自己,包括關閉檔案總管的預覽窗格及詳細資料窗格,關閉 WebClient 服務,以及將 Adobe Type Manager Font 驅動程式(ATMDF.dll)重新命名或移除,不過這也導致第三方應用程式無法運作。