Microsoft poussa un correctif d’urgence hier via des mises à jour automatiques toutes les versions de son système d’exploitation Windows qui répare un problème critique qui pourrait permettre l’exécution de code à distance lorsqu’il est exploité avec succès.
Plus précisément, la vulnérabilité exploite un problème dans Windows Adobe Type Manager de la Bibliothèque lorsque spécialement conçu documents avec les polices OpenType sont chargés sur le système.
Cela peut se produire lorsque les utilisateurs ouvrent les documents malveillants sur le système directement ou lorsqu’ils visitent des sites web qui utilisent des polices embedded OpenType. Depuis ATM peut être utilisé par d’autres programmes en plus d’Internet Explorer, il peut affecter les systèmes où les autres navigateurs web sont utilisés pour naviguer sur Internet ou ouvrir des documents.
Lorsque exploité avec succès, les pirates peuvent prendre le contrôle du système par l’installation ou la suppression de programmes, modifier des comptes d’utilisateur ou la suppression de données.
Il est intéressant de noter que le patch remplace MS15-077 (KB3077657), qui Microsoft a publié le 14 juillet 2015, ce qui corrigé une vulnérabilité d’élévation des privilèges dans Adobe Type Manager police pilote.
La vulnérabilité affecte toutes les versions de Windows y compris la non prise en charge de Windows XP et Windows 2003 versions. Alors que Windows XP n’a reçu aucun des deux patchs, Windows 2003, a reçu le premier des deux, mais pas le second en raison de EOL de soutien.
Microsoft Windows XP et Windows 2003, les administrateurs et les utilisateurs peuvent trouver la solution de contournement manuelle des instructions utiles sur le bulletin officiel de site web qu’ils peuvent utiliser pour protéger les systèmes d’exploits. La société propose de renommer le fichier atmfd.dll sur la pré-Windows 8 de systèmes, et de désactiver le Adobe Type Manager sur Windows 8 ou une version ultérieure des systèmes.
Renommer atmfd.dll sur les systèmes 32 bits
cd “%windir%system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /enregistrer atmfd.dll.acl
icacls.exe atmfd.dll /les Administrateurs de subventions:(F)
renommer atmfd.dll x-atmfd.dll
Renommer atmfd.dll sur les systèmes 64 bits
cd “%windir%system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /enregistrer atmfd.dll.acl
icacls.exe atmfd.dll /les Administrateurs de subventions:(F)
renommer atmfd.dll x-atmfd.dll
cd “%windir%syswow64”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /enregistrer atmfd.dll.acl
icacls.exe atmfd.dll /les Administrateurs de subventions:(F)
renommer atmfd.dll x-atmfd.dll
La désactivation de atmfd sur Windows 8 ou version ultérieure
- Appuyez sur le Windows-clé, tapez regedit et appuyez sur entrée.
- Accédez à la clé suivante: HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsDisableATMFD
- Si DisableATMFD n’existe pas, cliquez-droit sur Windows, puis sélectionnez Nouveau > valeur Dword (32 bits) Valeur.
- Définissez sa valeur à 1.
Le patch que Microsoft a poussé aujourd’hui de patchs, la vulnérabilité sur tous les systèmes pris en charge. Il peut être installé via les mises à jour automatiques sur les systèmes de la Maison de système d’exploitation, ou téléchargés à l’aide de Microsoft Download Center. Les liens de téléchargement pour chaque système d’exploitation sont indiquées dans la rubrique “logiciels concernés” sur le MS15-078 page de support.
Microsoft indique que la vulnérabilité est public, mais qu’il n’est pas au courant des attaques de l’utiliser actuellement. Le déverrouillage d’urgence de la nature de la pièce indique une forte probabilité pour que la question soit exploitée dans un avenir proche.
L’exploit a été découvert après les pirates de fuite de fichiers internes de la société italienne Hacking Team.