Выпущено аварийное исправление для уязвимости Windows MS15-078 (KB3079904)
- Категория: Windows
Вчера Microsoft выпустила экстренное исправление посредством автоматических обновлений для всех поддерживаемых версий своей операционной системы Windows, которое исправляет критическую проблему, которая может позволить удаленное выполнение кода при успешном использовании.
В частности, уязвимость использует проблему в библиотеке Windows Adobe Type Manager, когда в систему загружаются специально созданные документы со шрифтами OpenType.
Это может произойти, когда пользователи открывают вредоносные документы в системе напрямую или когда они посещают веб-сайты, использующие встроенные шрифты OpenType. Поскольку банкомат может использоваться другими программами, помимо Internet Explorer, он может повлиять на системы, в которых другие веб-браузеры используются для просмотра Интернета или открытия документов.
При успешном использовании злоумышленники могут получить контроль над системой, устанавливая или удаляя программы, изменяя учетные записи пользователей или удаляя данные.
Интересно отметить, что патч заменяет MS15-077 (KB3077657), выпущенный Microsoft 14 июля 2015 года и исправляющий уязвимость, повышающую привилегии в драйвере шрифта Adobe Type Manager.
Уязвимость затрагивает все версии Windows, включая неподдерживаемые версии Windows XP и Windows 2003. Хотя Windows XP не получила ни одного из двух исправлений, Windows 2003 получила первое из двух, но не второе из-за EOL поддержки.
Администраторы и пользователи Microsoft Windows XP и Windows 2003 могут найти полезные ручные инструкции по обходному пути на официальном веб-сайте бюллетеня, которые они могут использовать для защиты систем от эксплойтов. Компания предлагает переименовать файл в atmfd.dll в системах до Windows 8 и отключить Adobe Type Manager в системах Windows 8 или более поздних версий.
Переименуйте atmfd.dll в 32-битных системах
cd '% windir% system32'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / сохранить atmfd.dll.acl
icacls.exe atmfd.dll / grant Администраторы: (F)
переименовать atmfd.dll в x-atmfd.dll
Переименуйте atmfd.dll в 64-битных системах
cd '% windir% system32'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / сохранить atmfd.dll.acl
icacls.exe atmfd.dll / grant Администраторы: (F)
переименовать atmfd.dll в x-atmfd.dll
cd '% windir% syswow64'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / сохранить atmfd.dll.acl
icacls.exe atmfd.dll / grant Администраторы: (F)
переименовать atmfd.dll в x-atmfd.dll
Отключение atmfd в Windows 8 или новее
- Нажмите на клавишу Windows, введите regedit и нажмите Enter.
- Перейдите к ключу: HKLM Software Microsoft Windows NT CurrentVersion Windows DisableATMFD
- Если DisableATMFD не существует, щелкните правой кнопкой мыши Windows и выберите «New»> «Dword (32-bit) Value».
- Установите его значение на 1.
Патч, выпущенный Microsoft сегодня, устраняет уязвимости во всех поддерживаемых системах. Его можно установить с помощью автоматических обновлений в домашних системах операционной системы или загрузить через Центр загрузки Microsoft. Ссылки для скачивания каждой уязвимой операционной системы приведены в разделе «уязвимое программное обеспечение» на MS15-078 страница поддержки.
Microsoft заявляет, что уязвимость является общедоступной, но в настоящее время ей не известно об атаках, использующих ее. Экстренный выпуск исправления указывает на высокую вероятность того, что проблема будет использована в ближайшем будущем.
Эксплойт был обнаружен после того, как хакеры утечка внутренние файлы итальянской компании Hacking Team.