Xakep #305. Многошаговые SQL-инъекции
На прошлой неделе в составе Adobe Type Manager Library (atmfd.dll) были обнаружены сразу две 0-day уязвимости, которые уже находятся под атаками хакеров. Данная библиотека используется, в частности, для рендера шрифтов PostScript Type 1 в Windows.
Согласно предупреждению Microsoft, обе уязвимости позволяют удаленно выполнить произвольный код, то есть злоумышленники могут запустить в системе жертвы свой код и предпринимать различные действия от лица пользователя. Атакующий может добиться эксплуатации уязвимости по-разному, например, может убедить пользователя открыть специально созданный документ или просмотреть его на панели Windows Preview.
Перед проблемами уязвимы все поддерживаемые в настоящее время версии Windows и Windows Server уязвимы (включая Windows 10, 8.1 и Server 2008, 2012, 2016 и 2019). Windows 7, чья поддержка была прекращена в начале текущего года, тоже подвержена уязвимостям.
Так как официальных исправлений для этих проблем нет, эксперты компании Acros Security, занимающейся разработкой решения 0patch, подготовили временные патчи (или микропатчи). Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.
Пока исправления доступны для 64-разрядных версий Windows 7 и Windows Server 2008 R2, которые не получают так называемую расширенную поддержку (Extended Security Updates, ESU), доступную лишь платным корпоративным клиентам.
Эксперты напоминают, что для Windows 10 версии 1709 уязвимости большой угрозы не представляют, так как здесь парсинг шрифтов происходит в изолированном пространстве, что затрудняет эксплуатацию багов. Так что микропатчей для этой ОС можно не ждать. Однако в более ранних версиях Windows все происходит в ядре, предоставляя злоумышленникам возможность выполнять код с самыми высокими привилегиями. В связи с этим временное исправление в составе 0Patch вскоре будет доступно для Windows 7 и Windows Server 2008 R2 с ESU, а также для Windows 8.1 и Windows Server 2012, как 32-разрядных, так и 64-разрядных версий.
В блоге эксперты объясняют, что об уязвимостях пока известно очень мало, поэтому им пришлось заблокировать проблемную функциональность.
«С этим микропатчем все приложения, использующие Windows GDI для операций со шрифтами, обнаружат, что любые шрифты Adobe Type 1 PostScript, рендерятся как недопустимые и незагружаемые», — пишет глава Acros Security Митя Колсек.
По сути, это означает, что после применения патча Windows Explorer не будет осуществлять предварительный просмотр файлов шрифтов .PFM и .PFB. Символы не будут отображаться на панели предварительного просмотра, в виде миниатюр, а также на панели сведений.