TechNews 科技新報 https://technews.tw/2020/03/24/another-zero-day-vulnerability-in-windows-microso ft-almost-all-users-at-risk/ https://tinyurl.com/v4bjh39 記者：黃敬哲 微軟在 24 日警告全球數十億 Windows 用戶，稱有兩個相當關鍵的零時漏洞可能會被駭客 利用，且目前還沒有補丁。 微軟指出，Windows Adob e Type Manager 允許應用程式管理和呈現 Adobe Systems 提 供的字體，但這存在缺陷，在處理 Adobe Type 1 Postscript 格式的字體，將觸發兩個遠 程執行代碼漏洞（RCE），而駭客可引誘受害者透過執行或預覽文檔等方式來進行資安攻擊 。關鍵是目前幾乎所有版本的作業系統都有這個問題，且尚未有更新可以彌補。 當然微軟表示，工程師們已經很努力地在進行修復，但在安全性更新發布之前，有必要警告 用戶注意這個資安問題。這兩個漏洞，雖然微軟沒有透漏是否已具體發現相關的惡性資安事 件，甚至也沒有太多技術細節提供，但強調可能會招致駭客進行針對性的攻擊。 臨時應對措施 不過微軟建議用戶有以下幾種預防方法。首先，在 Windows 資源管理器中禁用預覽和詳細 資訊視窗，此舉將可阻斷 Windows Explorer 自動顯示 Open Type Fonts。不過這僅是一個 權宜之計，但駭客若能使用本地用戶身分，仍然可運用特別的程式來利用此漏洞。其次，禁 用 WebClient 服務，阻止 WebDAV 對文件版本進行控制，並停止啟動任何明顯依賴於 WebC lient 的服務。 最後一個方法，重新命名 ATMFD.DLL，或者直接從註冊表中禁用此文件，不過此舉將導致依 賴嵌入式字體的應用程式出現顯示問題，且若程式使用 OpenType 字體，也可能造成停止運 行。且最嚴重的結果是令系統崩潰，需要重新安裝作業系統來修復。以上方法的詳細操作細 節可參考微軟官方公告。 雖然微軟沒有公布太多細節，但暗示漏洞可能會被政府或是商業間諜用來針對特定人士來進 行資訊攻擊，竊取機密情報等行為。類似利用字體解析器的安全漏洞來劫持個人電腦的手法 ，其實很早就有，但至今卻仍然被層出不窮。目前微軟預計可能會到 4 月中才能發出安全 性更新。 值得注意的是，專家表示，就算微軟能盡速發送補丁，但仍可能會被再度破解，且由於目前 新冠病毒疫情氾濫，大部份的企業恐怕也無法兼顧此事。另一方面，Adobe 也已對此事回應 ，此漏洞完全是微軟的問題，由微軟自行支持。此資安問題恐怕不會太快被解決。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.12.52.71 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Windows/M.1585022797.A.D63.html