Windows爆出兩個重大零時差RCE漏洞 已有攻擊發生
微軟今天發佈最新安全公告警告Windows用戶,有兩個重大零時差漏洞讓駭客得以遠端接管電腦,但是要等到下個月才會有修補程式。
微軟指出,兩個漏洞皆已發生「有限的精準攻擊」,所有版本皆受影響,包含Windows 10, 8.1、Server 2008、2012、2016、2019、和已經不再被支援的Windows 7。
兩個漏洞皆來自Windows Adobe Type Manager Library,它是Windows內建的文字解析軟體,不只用於軟體第三方軟體,也可用於檔案總管的「預覽窗格」或「詳細資訊窗格」功能,不用開啟即可顯示檔案內容。
這些漏洞出在Adobe Type Manager Library處理Adobe Type 1 PostScript字型不當,而使遠端駭客可以欺騙用戶開啟特意改造的文件,或是以檔案總管預覽,在目標電腦上執行任意程式碼。
但微軟說,在Windows 10電腦上,成功的攻擊只會造成程式碼在AppContainer沙箱內以有限權限及功能執行。
目前還不知這些漏洞是否可以連結有惡意OpenType字型的網站,在Web上遠端觸發,不過還有其他方法可以發動攻擊,像是透過WebDAV(Web Distributed Authoring and Versioning)用戶端服務。
微軟表示已經發現攻擊情形,正在開發修補程式,預計要到4月14日的下個月Patch Tuesday釋出。
在修補程式來到之前,微軟建議Windows用戶透過幾個方法保護自己,包括關閉檔案總管的預覽窗格及詳細資料窗格,關閉WebClient服務,以及將Adobe Type Manager Font 驅動程式(ATMDF.dll)重新命名或移除,不過這也導致第三方應用程式無法運作。