一、漏洞概況
北京時間3月24日,微軟緊急發佈一則Type 1字體解析遠程代碼執行漏洞警報(ADV200006)。該漏洞是由於Windows內置的Adobe Type Manager庫在解析特製的Adobe Type 1 PostScript格式時處理不當引起,可導致遠程代碼執行。攻擊者可通過多種方式利用此漏洞,例如誘導用戶打開或在 Windows 預覽窗格中查看有威脅的文檔。該漏洞微軟評級為 “Critical”(高危),影響Windows7及其之後的所有版本Windows系統(WinXP不受影響),危害較大。
微軟官方提供了臨時防禦方式,並預計會在下個月的補丁日發佈該漏洞的修復補丁。
二、影響範圍:
三、臨時防禦措施
1、在Windows資源管理器中禁用【預覽窗格】和【詳細信息窗格】。
微軟提供了多種臨時防禦措施。我們推薦此操作難度及影響程度都較低的方法。
(1)Windows 7、Windows 8.1、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2系統操作方法:
- 打開 Windows 資源管理器,單擊【組織】,然後單擊【佈局】。
- 取消勾選【細節窗格】和【預覽窗格】。
- 單擊【組織】,然後單擊【文件夾和搜索選項】。
- 單擊【查看】選項卡。
- 在高級設置下,選中“ 始終顯示圖標,從不顯示縮略圖”框。
- 關閉 Windows 資源管理器的所有打開的實例,以使更改生效。
(2)Windows Server 2016、Windows 10 和 Windows Server 2019系統操作方法:
- 打開 Windows 資源管理器,單擊【查看】選項卡。
- 取消選擇【詳細信息窗格】和【預覽窗格】的菜單選項。
- 單擊【選項】,然後單擊【更改文件夾和搜索選項】。
- 單擊【查看】選項卡。
- 在高級設置下,選中“始終顯示圖標,從不顯示縮略圖”框。
- 關閉 Windows 資源管理器的所有打開的實例,以使更改生效。
(3)措施產生的影響。
Windows 資源管理器不會自動顯示OTF 字體。
2、重命名ATMFD.DLL文件
方法1在企業中執行較繁瑣,企業管理員可以通過此下發命令的方式統一處理。
(1)32位操作系統操作方法:
- 在管理員權限的命令行裡輸入
cd "%windir%\\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
- 重啟系統
(2)64位操作系統操作方法:
- 在管理員權限的命令行裡輸入
cd "%windir%\\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
- 重啟系統
(3)措施產生的影響:
依賴嵌入式字體技術的應用程序將無法正確顯示。禁用ATMFD.DLL可能會導致某些使用OpenType字體的應用程序無法正常運行。
注:此措施操作存在風險,不建議一般用戶使用。由於Windows 10 1709版本以後不存在ATMFD.DLL文件, 如遭遇上述命令執行失敗,具體可參考微軟官方警報相關命令。其他臨時防禦措施也請見微軟官方警報。(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006)
火絨將會持續關注該漏洞的後續相關內容及補丁信息。
閱讀更多 火絨安全實驗室 的文章
