微软警告Windows一项组件冒出2个重大远程程序代码执行(remote code execution,RCE)漏洞,并侦测到已经有黑客发动攻击。但微软要到下个月的Patch Tuesday才会修补。
这2项漏洞发生在Windows内置的Adobe Type Manager Library (ATMFD.dll)组件中。Adobe Type Manager Library作用为,在Windows中显示Adobe Type 1 PostScript字体(为Adobe和微软共同开发的一种OpenType字体),漏洞则是处理经刻意改造的文本过程发生错误,造成攻击者可在Windows设备上执行程序代码。
微软指出,攻击方法有很多种,像是诱使用户打开恶意文件,或利用Windows预览窗格预览时开采该漏洞。微软已经观察到有“少数精准攻击行动”发生。
漏洞影响Windows 7、8.1、RT及所有版本Windows 10,以及Windows Server 2008、2012、2016与2019版。在所有平台上2项漏洞,皆被列为“重大”(critical)风险等级。但微软强调,在Windows 10上,攻击仅会导致程序代码以有限权限在AppContainer沙箱执行。
目前微软正在加紧开发修补程序,预计会在4月份的Patch Tuesday,即4月14日发布修补程序。
在此之前,微软建议用户关闭“文件总管”中的预览窗格及详细内容窗格,可防止文件总管显示OpenType字体,或是关闭WebClient服务,以封锁最有可能的远程攻击途径,但使用WebClient的服务将无法激活,计算机也暂时无法接收WebDAV调用。
另一个方法是重命名ATMFD.dll,但这也可能造成某些使用OpenType字体的应用程序无法运行。不过微软指出,Windows 10 1709以后就没有这个文件了。