微软警告两个Windows零日漏洞 安全资讯

信息发布员 6月前 105

作系统以及一些不再受支持的Windows操作系统版本。

被评为严重的安全漏洞被用于有限的针对性攻击。这意味着高级威胁参与者会进行精心策划的目标,从而进行攻击。话虽如此,这家科技巨头指出需要“在发布安全更新之前帮助降低客户风险”,因此公开披露了这些缺陷。

“当Windows Adobe Type Manager库不正确地处理特制的多主字体– Adobe Type 1 PostScript格式时,Microsoft Windows中存在两个远程执行代码漏洞,”该技术巨人说。Adobe Type Manager是一种字体管理工具,可帮助Windows处理和呈现字体。

微软表示,不良行为者可以通过多种方式利用这些缺陷,包括诱骗目标对象打开诱杀陷阱文件或在Windows预览窗格中查看文件。

补丁?

该漏洞影响是Windows的所有受支持版本,包括Windows 10,以及系统过去的结束生命,尤其是Windows 7中重要的是,没有补丁适用于任何人,和微软暗示,修复不会直到4月14 日即将发布补丁星期二安全更新。即便如此,运行淘汰的操作系统的计算机即使在出厂后也不会收到更新-除非其所有者已注册到Microsoft的扩展安全更新(ESU)程序中。

虽然该漏洞被评为对所有受影响的系统都至关重要,但该公司指出,在Windows 10上,其利用潜力是有限的。“对于运行受支持版本的Windows 10的系统,成功的攻击只能导致在权限有限且功能有限的AppContainer沙箱上下文中执行代码,”该技术巨人说。截至撰写本文时,尚未为漏洞分配CVE标识符。

Microsoft提出了一系列临时缓解措施和变通办法,以在补丁运行时应对风险。其中包括禁用Windows资源管理器中的“预览窗格”和“详细信息窗格”,以及重命名库(atmfd.dll)。公司的咨询中提供了分步指导。

几周前,微软发布了一些补丁程序,以修复Windows中的关键加密漏洞以及Internet Explorer中的零时漏洞。ESET研究人员在2018年发现了一个利用Adobe Reader和Windows 中两个零日漏洞的漏洞,而去年他们发现了一个漏洞,该漏洞滥用了另一个Windows零日漏洞(CVE‑2019‑1132)。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者信息发布员少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者信息发布员少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:网络安全法(草案)全文
下一篇:安全可靠的远程工作的6个技巧
人生的价值,并不是用时间,而是用深度去衡量的。
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回