Обнаружена критическая проблема парсинга шрифтов в Windows (исправлено внутри)

Microsoft опубликовано вчерашнее сообщение о недавно обнаруженной проблеме парсинга шрифтов, которая затрагивает все поддерживаемые версии операционной системы Windows компании (включая Windows 7).

Проблеме присвоена высшая оценка критичности. Microsoft отмечает, что ей известно об ограниченных целевых атаках и что она работает над исправлением, чтобы закрыть уязвимость.

Уязвимость удаленного кода обнаружена в библиотеке Adobe Type Manager, и у злоумышленников есть несколько вариантов использования проблемы, включая убеждение пользователей открыть специально созданный документ или просмотреть документ в области предварительного просмотра проводника / проводника Windows.

В Microsoft Windows существует две уязвимости удаленного выполнения кода, когда библиотека Windows Adobe Type Manager неправильно обрабатывает специально созданный шрифт с несколькими шаблонами — формат Adobe Type 1 PostScript.

Корпорация Майкрософт опубликовала обходной путь, предотвращающий атаки на проводник Windows / Проводник. Microsoft отмечает, что обходной путь не «предотвращает запуск локального пользователя, выполняющего проверку подлинности, специально созданной программы для использования уязвимости».

Обходной путь:

Для Windows 7, Windows 8.1 и Windows Server 2008 R2, 2012 и 2012 R2:

  1. Откройте экземпляр Windows Explorer и выберите «Упорядочить»> «Макет».
  2. Отключите параметры панели сведений и панели предварительного просмотра (если они включены. Вы должны заметить, что панели не отображаются при отключении)
  3. Выберите «Упорядочить»> «Папка и параметры поиска».
  4. Перейдите на вкладку «Просмотр».
  5. В разделе «Дополнительные настройки» установите флажок «Всегда показывать значки, а не эскизы».
  6. Закройте все экземпляры проводника Windows.

Для Windows 10, Windows Server 2016 и 2019:

всегда показывать значки

  1. Откройте проводник и переключитесь на вкладку «Просмотр», когда она откроется.
  2. Очистите панель «Детали» и «Предварительный просмотр», чтобы они больше не отображались в проводнике (если они отображались ранее).
  3. Выберите Файл> Изменить папку и параметры поиска.
  4. Установите флажок Всегда показывать значки, а не эскизы в дополнительных настройках.
  5. Закройте все экземпляры проводника, чтобы изменения вступили в силу.

Изменения можно отменить, как только исправление появится в Windows. Просто повторите шаги, описанные выше, но вместо того, чтобы очищать или проверять параметры, вы сделаете наоборот.

Для систем, на которых используется служба WebClient, Microsoft рекомендует временно отключить эту службу, поскольку она блокирует «наиболее вероятный вектор удаленной атаки через клиентскую службу Web Distributed Authoring and Versioning (WebDAV)».

Отключение службы приведет к тому, что запросы WebDAV не будут передаваться. Кроме того, никакая служба, которая зависит от службы WebClient, не запускается.

Вот как это делается:

  1. Используйте Windows-R, чтобы открыть окно «Выполнить».
  2. Введите services.msc и нажмите OK, чтобы открыть окно управления службами.
  3. Найдите WebClient в списке служб, щелкните его правой кнопкой мыши и выберите «Свойства».
  4. Установите для параметра Тип запуска значение Отключено.
  5. Если WebClient запущен, выберите Остановить.
  6. Нажмите ОК и закройте интерфейс управления службами.

Администраторы, управляющие системами Windows 10 версии 1703 и более ранних, включая Windows 8.1 и 7, также могут отключить ATMFD с помощью реестра.

Вот сценарий, который вам нужно запустить:

Редактор реестра Windows версии 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
«DisableATMFD» = двойное слово: 00000001

По данным Microsoft, системы Windows 7, отличные от ESU, не получат обновление безопасности.