微软今天发布了一个新的 Windows 安全警示,表示目前所有支持的 Windows 版本里都存有两个致命的无修补安全漏洞,黑客可以藉此远距离控制受害者的目标计算机。

Windows又现影响全部系统的致命漏洞, 并且暂时无安全补丁-风君子博客

  根据微软的说法,目前已经有攻击是以这两个未修补的漏洞来进行,并且影响 Windows 的所有官方支持版本,包括 Windows 10、8.1 和 Server 2008、2012、2016 和 2019 版本,而微软在 3 个月前终止支持的 Windows 7 同样受影响,。

  这两个漏洞都是位于 Windows 的 Adobe Type Manager Library 之中,这是一个字体解析软件,它不但可以在使用第三方软件时解析内容,还可以在无需用户打开文件的情况下被 Windows 资源管理器用来在“预览窗格”或“详细信息窗格”中显示文件的内容。

  这两个漏洞是源于 Adobe Type Manager Library 不当地“处理特制的多主(Multi-master)字体 Adobe Type1 PostScript 格式。”其中一种已知的以此为基础的攻击手段为诱使用户打开或者在 Windows 预览中浏览一个特制的文檔。目前尚不清楚这个漏洞会否被含有特制恶意 OTF 字体的网页触发。

  微软表示他们已经知道这个问题并且目前正在开发补丁当中,这个补丁预计会在 4 月 14 日的补丁星期二时推送给全部 Windows 用户。与此同时,微软也强烈建议 Windows 用户禁用 Windwos 资源管理器中的“预览窗格”及“详细信息窗格”功能来规避潜在的攻击,具体做法如下:

  1. 打开 Windows 资源管理器,点击“组织”,然后单击“布局”。

  2. 剔除“详细信息”窗格和“预览”窗格的选项。

  3. 点击组织,然后点击活页夹和搜索选项。

  4. 点击查看选项。

  5. 在“高级设置”下,点选“始终显示图标,不显示缩略图”。

  6. 关闭所有打开的 Windows 资源管理器的界面,使更改生效。

  不过以上方法只会防止在 Windows 资源管理器中查看恶意文件,并不会限制任何合法的第三方软件加载及使用这个易受攻击的字体解析库,想要彻底避开这个问题的话,可以在这里看完整的微软安全警示。