Windows 0day 漏洞警告

漏洞简介

周一，微软发布了一个新的安全公告，提醒数十亿Windows用户——两个新的未修复的0day漏洞将被黑客利用，进行远程控制目标计算机

目前，这两个漏洞已经被黑客利用，对所有尚处于支持状态的Windows设备发起了攻击，而且，目前还没有针对该漏洞的安全补丁，微软承认该漏洞数据“严重”级别，该漏洞存在于Windows处理和渲染字体中

漏洞详情

两个漏洞位于WindowsAdobe Type ManagerLibrary中，这是一种字体解析软件，不仅可以在使用第三方软件时解析内容，还可以在无需用户打开文件的情况下被Windows资源管理器用来在“预览窗格”或“详细信息窗格”中显示文件的内容。

漏洞主要源于Adobe Type Manager Library不当地处理了特制的多主体字体（Adobe Type1 PostScript格式），从而允许远程攻击者诱使用户打开特制文档或在Windows预览窗格中查看文档，以此来在目标系统上执行任意恶意代码。

目前尚不清楚这个漏洞会否被含有特制恶意OTF字体的网页触发，但攻击者可以通过多种其他方式利用这两个漏洞，例如通过Web分布式创作和版本控制（WebDAV）客户端服务。

此外，据Microsoft提供的信息，在运行受支持的Windows 10版本设备上，成功利用这两个0day漏洞只导致在权限有限且功能有限的AppContainer沙箱上下文中执行代码。

影响版本

Windows操作系统中所有受支持的版本，包括Windows 10、Windows 8.1、WindowsServer 2008/2012/2016/2019版本，甚至已经停止的Windows 7版本

漏洞修复

微软目前正在研究开发补丁，预计4月14日发布，补丁发布之前，可通过以下方式缓解：

• 在Windows中禁用预览窗格和详细信息窗格(禁用后，Windows资源管理器将不会自动显示OpenType字体)

Windows预览窗格是一个很方便的功能，可以在不打开文件的情况下，预览文件内容

禁用很简单，打开运行，输入gpedit.msc，打开本地组策略编辑器，找到用户配置——管理模块——Windows组件——文件管理器——Explorer 框架窗格，就可以关闭了

• 禁用WebClient服务(禁用后，将阻止Web分布式创作和版本控制客户端服务)

重命名ATMFD.DLL(Adobe Type Manager字体驱动程序的文件名)

以上只是缓解措施，但仍面临被攻击的可能，所以需要注意日常使用行为，不确定的程序、文件，不要打开。