微软今日发布了MS15-078号安全公告,公告称微软字体驱动程序中含有漏洞,该漏洞可被远程执行代码。如果用户打开特制文件或不安全的网页,其中包含嵌入式OpenType字体可被远程执行代码。同时,该漏洞影响“所有受支持的Microsoft Windows”,也就是从Windows Vista、7、8、8.1、10到服务器版的Windows SVR 2008-2012。相信Windows XP也含有该漏洞,由于XP已经被微软停止支持,所以补丁是没有了,XP用户还是需要自己多注意一些。
OpenType字体驱动漏洞,编号为CNNVD-201507-655。微软的Windows操作系统中,当用户通过错误的方式来使用Windows Adobe字体管理库时,尤其是使用OpenType字体时,将会触发一个远程代码执行漏洞。攻击者如果能够成功地利用这个漏洞,那么他就可以获取到受影响系统的完整控制权,紧接着他就可以在目标主机的系统中安装任意的软件,查看、修改或删除任意的数据,或者在目标主机的系统中创建一个拥有完整控制权限的用户账号。
攻击者如果想要利用这个漏洞,方式是多种多样的。比如说他们可以通过欺骗的手段让用户打开一个经过特殊设计的文本文件,或者通过欺骗用户,让他们去访问一个内嵌了OpenType字体的不受信任的网站等。此次安全更新通过修正Windows Adobe字体管理库对OpenType字体的处理方式来修复这个漏洞。
当微软公司发布了这个安全公告之后,公司从他们所得到的信息中发现这个漏洞已经被公开的了,但是目前还没有任何迹象可以表明有黑客利用了这个漏洞去攻击客户。我们的分析结果表明,漏洞利用代码在经过特殊设计之后,可以允许攻击者持续地利用这个漏洞。
微软公司目前还没有找到可以缓解此漏洞的方法。
OpenType字体驱动漏洞,编号为CNNVD-201507-655。微软的Windows操作系统中,当用户通过错误的方式来使用Windows Adobe字体管理库时,尤其是使用OpenType字体时,将会触发一个远程代码执行漏洞。攻击者如果能够成功地利用这个漏洞,那么他就可以获取到受影响系统的完整控制权,紧接着他就可以在目标主机的系统中安装任意的软件,查看、修改或删除任意的数据,或者在目标主机的系统中创建一个拥有完整控制权限的用户账号。
攻击者如果想要利用这个漏洞,方式是多种多样的。比如说他们可以通过欺骗的手段让用户打开一个经过特殊设计的文本文件,或者通过欺骗用户,让他们去访问一个内嵌了OpenType字体的不受信任的网站等。此次安全更新通过修正Windows Adobe字体管理库对OpenType字体的处理方式来修复这个漏洞。
当微软公司发布了这个安全公告之后,公司从他们所得到的信息中发现这个漏洞已经被公开的了,但是目前还没有任何迹象可以表明有黑客利用了这个漏洞去攻击客户。我们的分析结果表明,漏洞利用代码在经过特殊设计之后,可以允许攻击者持续地利用这个漏洞。
微软公司目前还没有找到可以缓解此漏洞的方法。
还没有评论,来说两句吧...