Microsoft pressade ut en nödplåster igår via automatiska uppdateringar av alla versioner av sitt Windows-operativsystem som korrigerar en kritisk fråga som kan möjliggöra fjärrkörning av kod när den utnyttjas framgångsrikt.
Specifikt utnyttjar sårbarheten ett problem i Windows Adobe Type Manager-biblioteket när specialgjorda dokument med OpenType-teckensnitt laddas i systemet.
Detta kan hända när användare öppnar skadliga dokument direkt i systemet eller när de besöker webbplatser som använder inbäddade OpenType-teckensnitt. Eftersom ATM kan användas av andra program förutom Internet Explorer kan det påverka system där andra webbläsare används för att surfa på Internet eller öppna dokument.
När de utnyttjas framgångsrikt kan angripare ta kontroll över systemet genom att installera eller ta bort program, ändra användarkonton eller ta bort data.
Det är intressant att notera att korrigeringsfilen ersätter MS15-077 (KB3077657) som Microsoft släppte den 14 juli 2015 som lappade en höjd av privilegiesårbarhet i Adobe Type Manager-fontdrivrutinen.
Sårbarheten påverkar alla versioner av Windows inklusive Windows XP- och Windows 2003-versioner som inte stöds. Medan Windows XP inte fick någon av de två korrigeringsfilerna, fick Windows 2003 den första av de två men inte den andra på grund av EOL-stöd.
Microsoft Windows XP och Windows 2003-administratörer och användare kan hitta de manuella lösningsinstruktionerna till hjälp på den officiella bulletinwebbplatsen som de kan använda för att skydda system från exploateringar. Företaget föreslår att byta namn på filen atmfd.dll på system före Windows 8 och att inaktivera Adobe Type Manager i Windows 8 eller senare system.
Byt namn på atmfd.dll på 32-bitars system
cd "% windir% \ system32"
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / spara atmfd.dll.acl
icacls.exe atmfd.dll / bevilja administratörer: (F)
byt namn på atmfd.dll x-atmfd.dll
Byt namn på atmfd.dll på 64-bitars system
cd "% windir% \ system32"
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / spara atmfd.dll.acl
icacls.exe atmfd.dll / bevilja administratörer: (F)
byt namn på atmfd.dll x-atmfd.dll
cd "% windir% \ syswow64"
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / spara atmfd.dll.acl
icacls.exe atmfd.dll / bevilja administratörer: (F)
byt namn på atmfd.dll x-atmfd.dll
Inaktivera atmfd i Windows 8 eller senare
- Tryck på Windows-tangenten, skriv regedit och tryck enter.
- Navigera till nyckeln: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ DisableATMFD
- Om DisableATMFD inte finns högerklickar du på Windows och väljer Ny> Dword (32-bitars) värde.
- Ställ in värdet på 1.
Plåstret som Microsoft drev ut idag korrigerar sårbarheten på alla system som stöds. Den kan installeras via automatiska uppdateringar på operativsystemets hemsystem eller laddas ner via Microsofts Download Center. Nedladdningslänkar för varje berört operativsystem finns under "berörd programvara" på supportsidan för MS15-078.
Microsoft säger att sårbarheten är offentlig men att den inte känner till attacker som använder den för närvarande. Plåstrets frigöringsnatur indikerar stor sannolikhet för att problemet ska utnyttjas inom en snar framtid.
Utnyttjandet upptäcktes efter att hackare läckt ut interna filer från det italienska företaget Hacking Team.