Главная страница

Программа расширенного обновления безопасности (esu)


Скачать 58.84 Kb.
НазваниеПрограмма расширенного обновления безопасности (esu)
АнкорADV200006
Дата19.10.2020
Размер58.84 Kb.
Формат файлаdocx
Имя файлаADV200006.docx
ТипДокументы
#143998

Уязвимость ADV200006 обнаружена во всех версиях Windows (7, 8.1, 10, Server 2008-2019) критическая, допускающая удалённое исполнение кода. Об уязвимости приходится сообщать до выпуска патча, потому что она уже активно эксплуатируется злоумышленниками. Пока её заметили только в «ограниченных целевых атаках».

Эти уязвимости находятся в библиотеке Windows Adobe Type Manager и могут быть использованы с помощью вредоносных шрифтов Adobe Type 1 Postscript format multiple master, которые теперь заменены шрифтами OpenType.

Злоумышленники могут использовать эти уязвимости несколькими способами, встраивая шрифты типа 1 в документы и убеждая пользователей открывать их или просматривать на панели предварительного просмотра Проводника Windows.

В Windows Server конфигурация усиленной безопасности по умолчанию не смягчает уязвимости.

Хотя уязвимость оценивается как критическая для систем, работающих под управлением поддерживаемых версий Windows 10, успешная атака может привести только к выполнению кода в содержимом песочницы AppContainer с ограниченными привилегиями и возможностями.

AppContainers — это функции безопасности, которые снижают риски, ограничивая доступ приложений к системным областям и ресурсам Windows.

Microsoft не сообщает, насколько успешно работают эксплоиты в упомянутых целевых атаках и что конкретно они делают. В сообщении также не упоминается о количестве и географическом расположении атак.

В настоящее время Microsoft выпустила апрельские обновления безопасности, которые устраняют уязвимость библиотеки Adobe Type Manager, но для получения обновления на Windows 7, Windows Server 2008 и Windows Server 2008 R2 требуется «Программа расширенного обновления безопасности» (ESU).

Для систем на которые обновление не может быть установлено предлагается несколько способов:

  1. Отключить области предварительного просмотра в Проводнике Windows. В русскоязычной версии они называются «Область просмотра» и «Область сведений» (Preview Pane и Details Pane).

    Это не позволит проводнику автоматически отображать шрифты Type 1. Хотя такой способ предотвратит некоторые типы атак, но не помешает локальному аутентифицированному пользователю запустить специально созданную программу с эксплоитом.




  1. Отключить службу WebClient (Веб-клиент). Данная служба позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV, и обычно её можно безболезненно отключить.



    Это наиболее вероятный вектор атаки, по оценке Microsoft. Опять же, отключение службы не помешает локально запустить эксплоит.



  1. Переименовать ATMFD.DLL или исключение его из реестра.
    Переименование ATMFD.DLL вызовет проблемы в приложениях, которые используют встроенные шрифты OpenType, так что некоторые приложения перестанут работать. Microsoft также предупреждает: ошибки при внесении изменений в реестр чреваты серьёзными проблемами, которые могут потребовать полной переустановки Windows.


написать администратору сайта