微軟安全應急響應中心昨天夜裡公佈Windows 7~Windows 10的最新安全漏洞,該安全漏洞被微軟標記為危急。
被標記為危急狀態主要是因為該漏洞可以用來遠程執行任意代碼,同時這枚漏洞目前在野外已經遭到黑客的利用。
遺憾的是目前微軟尚未發佈安全更新進行修復,因此所有用戶現在只能提高警惕不要下載和打開來歷不明的文檔。
此漏洞修復需要 Adobe推進因此微軟目前還在等待 Adobe更新,微軟表示預計該公司將在下週二發佈安全更新。
涉及字體庫的危急漏洞:
據微軟透露這枚漏洞主要是是Windows內置的Adobe Type Manager字體管理器引起的因此需等待Adobe修復。
微軟將該字體管理器內置在操作系統中並加載某些默認的字體,但攻擊者可以製作某些特定格式的字體誘導加載。
當用戶加載對應的文檔嵌入的特製字體時便會觸發這枚漏洞,漏洞觸發後攻擊者可以遠程執行任意命令獲得權限。
嚴格來說也並不需要完全打開這類特製的文檔,微軟強調甚至用戶在資源管理器中預覽這類文檔都可以觸發漏洞。
Windows 7~Windows 10均受影響:
據微軟透露這枚漏洞影響到Windows 7~Windows 10所有版本,其中Server系列和LTSB/LTSC系列同樣受影響。
當微軟在下週二發佈安全更新時理論上所有用戶都應該安裝補丁,但 Windows 7 已結束支持因此沒有安全更新。
對於支付許可費用額外購買微軟延長支持的企業客戶可以獲得補丁,白嫖用戶可使用ESU擴展工具進行延長支持。
需要注意的是不論你是Server 2008還是Server 2012或者2016,以及LTSB 2015和 LTSC 2016/2019 均需修復。
微軟發佈臨時應對方案:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006
閱讀更多 藍點網 的文章
