本周二微軟發(fā)出警告,稱攻擊者正在利用一個(gè)尚無(wú)補(bǔ)丁程序的嚴(yán)重漏洞進(jìn)行針對(duì)Windows 10用戶的攻擊。
微軟發(fā)出警告稱發(fā)現(xiàn)針對(duì)Windows用戶的“有限的定向攻擊”,攻擊者可以利用Adobe Type Manager庫(kù)中未修補(bǔ)的漏洞,遠(yuǎn)程執(zhí)行包括惡意軟件在內(nèi)的代碼。
該漏洞利用不僅影響Windows 10的所有受支持版本,還影響Windows的所有其他受支持版本。最糟糕的是,這個(gè)漏洞目前并沒有補(bǔ)丁程序。
在安全漏洞方面,過去幾周Microsoft的表現(xiàn)可謂糟糕透頂。3月11日,安全專家報(bào)告了一個(gè)當(dāng)時(shí)尚未修補(bǔ)的嚴(yán)重漏洞SMBGhost。但是,該漏洞隨后很快得到修復(fù)。3月22日,有消息稱,醫(yī)護(hù)人員正受到以新冠病毒主題為誘餌的新的危險(xiǎn)Windows勒索軟件攻擊的目標(biāo)。
根據(jù)Microsoft安全公告,當(dāng)Windows Adobe類型管理器庫(kù)不適當(dāng)?shù)靥幚硖刂频亩嘀髯煮wAdobe Type 1 PostScript格式時(shí),Microsoft Windows中存在兩個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。
攻擊者可以通過多種方式利用此漏洞,例如說服用戶打開特制文檔或在Windows預(yù)覽窗格中查看它。
該通報(bào)稱:
微軟已經(jīng)意識(shí)到了該漏洞,并正在進(jìn)行修復(fù)。解決微軟軟件安全漏洞的更新通常在星期二的更新中發(fā)布。
這意味著,下周二之前用戶很可能看不到任何補(bǔ)丁程序。
微軟表示,在此之前,用戶可以采取一種變通辦法,即禁用Windows資源管理器中的“審閱和詳細(xì)信息”窗格,以防止查看惡意文件。但即使這樣,也無(wú)法阻止本地和經(jīng)過身份驗(yàn)證的用戶運(yùn)行利用這些漏洞的惡意程序。