Windowsでの重大なフォント解析の問題が明らかになりました(内部で修正)

マイクロソフト 公開 会社のWindowsオペレーティングシステム(Windows 7を含む)のサポートされているすべてのバージョンに影響する、最近検出されたフォント解析の問題に関する昨日の勧告。

この問題は重大度が最も高く、重大度が最も高いと評価されています。マイクロソフトは、限定的な標的型攻撃を認識しており、脆弱性を解決するための修正に取り組んでいることを指摘しています。

リモートコードの脆弱性はAdobe Type Managerライブラリにあり、攻撃者は、特別に細工されたドキュメントを開くようにユーザーを説得したり、ファイルエクスプローラー/ Windowsエクスプローラーのプレビューウィンドウでドキュメントを表示したりするなど、問題を悪用する複数のオプションがあります。

Windows Adob​​e Type Managerライブラリが特別に細工されたマルチマスターフォント(Adobe Type 1 PostScript形式)を適切に処理しない場合に、Microsoft Windowsに2つのリモートコード実行の脆弱性が存在します。

Windowsエクスプローラー/ファイルエクスプローラーを標的とする攻撃を防止する回避策がマイクロソフトによって公開されました。 Microsoftは、この回避策は「ローカルの認証ユーザーが特別に細工されたプログラムを実行して脆弱性を悪用することを防ぐ」ものではないと指摘しています。

回避策:

Windows 7、Windows 8.1、およびWindows Server 2008 R2、2012、2012 R2の場合:

  1. Windowsエクスプローラーのインスタンスを開き、[整理]> [レイアウト]を選択します。
  2. 詳細ペインとプレビューペインのオプションを無効にします(有効になっている場合。無効にするとペインが表示されないことに注意してください)。
  3. [整理]> [フォルダと検索オプション]を選択します。
  4. [表示]タブに切り替えます。
  5. [詳細設定]で、[常にアイコンを表示し、サムネイルは表示しない]をオンにします。
  6. すべてのWindows Explorerインスタンスを閉じます。

Windows 10、Windows Server 2016および2019の場合:

always show icons

  1. ファイルエクスプローラーを開き、開いたら[表示]タブに切り替えます。
  2. 詳細とプレビューペインをクリアして、ファイルエクスプローラーに表示されないようにします(以前に表示されていた場合)。
  3. [ファイル]> [フォルダと検索オプションの変更]を選択します。
  4. 詳細設定では、常にアイコンを表示し、サムネイルは表示しないでください。
  5. 変更を有効にするには、すべてのエクスプローラーインスタンスを閉じます。

修正がWindowsに導入されたら、変更を元に戻すことができます。上記の手順を繰り返すだけですが、オプションをクリアまたはチェックする代わりに、反対のことを行います。

WebClientサービスが使用されているシステムでは、「Web分散オーサリングとバージョン管理(WebDAV)クライアントサービスを介した最も可能性の高いリモート攻撃ベクトル」をブロックするため、当面はサービスを無効にすることをお勧めします。

サービスを無効にすると、WebDAVリクエストが送信されなくなります。また、WebClientサービスに依存するサービスは開始されません。

以下はその方法です。

  1. Windows-Rを使用して実行ボックスを表示します。
  2. services.mscと入力し、「OK」をクリックして「サービス管理」ウィンドウを開きます。
  3. [サービス]リストでWebClientを見つけ、右クリックして[プロパティ]を選択します。
  4. スタートアップの種類を無効に切り替えます。
  5. WebClientが実行されている場合は、[停止]を選択します。
  6. [OK]をクリックして、サービス管理インターフェイスを閉じます。

Windows 10バージョン1703以前のシステム(Windows 8.1および7を含む)を管理する管理者は、レジストリを使用してATMFDを無効にすることもできます。

実行する必要があるスクリプトは次のとおりです。

Windowsレジストリエディターバージョン5.00
[HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Windows]
'DisableATMFD' = dword:00000001

Microsoftによると、ESU以外のWindows 7システムはセキュリティ更新プログラムを受信しません。