Windows爆出兩個重大零時差RCE漏洞　已有攻擊發生

微軟今天發佈最新安全公告警告Windows用戶，有兩個重大零時差漏洞讓駭客得以遠端接管電腦，但是要等到下個月才會有修補程式。

微軟指出，兩個漏洞皆已發生「有限的精準攻擊」，所有版本皆受影響，包含Windows 10, 8.1、Server 2008、2012、2016、2019、和已經不再被支援的Windows 7。

兩個漏洞皆來自Windows Adobe Type Manager Library，它是Windows內建的文字解析軟體，不只用於軟體第三方軟體，也可用於檔案總管的「預覽窗格」或「詳細資訊窗格」功能，不用開啟即可顯示檔案內容。

這些漏洞出在Adobe Type Manager Library處理Adobe Type 1 PostScript字型不當，而使遠端駭客可以欺騙用戶開啟特意改造的文件，或是以檔案總管預覽，在目標電腦上執行任意程式碼。

但微軟說，在Windows 10電腦上，成功的攻擊只會造成程式碼在AppContainer沙箱內以有限權限及功能執行。

目前還不知這些漏洞是否可以連結有惡意OpenType字型的網站，在Web上遠端觸發，不過還有其他方法可以發動攻擊，像是透過WebDAV（Web Distributed Authoring and Versioning）用戶端服務。

微軟表示已經發現攻擊情形，正在開發修補程式，預計要到4月14日的下個月Patch Tuesday釋出。

在修補程式來到之前，微軟建議Windows用戶透過幾個方法保護自己，包括關閉檔案總管的預覽窗格及詳細資料窗格，關閉WebClient服務，以及將Adobe Type Manager Font 驅動程式（ATMDF.dll）重新命名或移除，不過這也導致第三方應用程式無法運作。