https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006
微软在今天证实目前Windows含有两个未修补的远端程式码执行(RCE)漏洞。且已经有
实作攻击的案例
这两个漏洞都是利用Adobe Type Manager Library来触发,Adobe Type Manager Library
起源是Adobe与微软共同研发的OpenType字型,并使用上述工具让Windows显示该字型。
而在Windows Vista时期Adobe就已经将此工具交由微软维护,所以跟Adobe基本上已经没
什么关系了
该漏洞的触发模式就是利用刻意改造过的字型来触发错误,并进行远端攻击。估计从
Windows 7至Windows 10皆有此漏洞
微软已经正在进行修补,但修补程式最快也会跟随在4月份的Patch Tuesday释出。微软建
议在更新还没释出前关闭档案总管的缩图预览功能,同时也关闭WebClient服务
https://i.imgur.com/P2j5LDV.png
另外一个方法是修改ATMFD.DLL的名称。但这会造成部分使用OpenType字型的应用程式无
法运作,且在Win10 1709后就已经无此档案。请斟酌使用
若需要修改,请在管理员权限下的cmd.exe输入下列指令(以Win 10 64-bit版本为例)
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll1
重开机后生效
若要回复的话请输入下列指令
cd "%windir%\system32"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
cd "%windir%\syswow64"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
重开机后生效