Phenquestions
Microsoft hat gestern einen Notfall-Patch über automatische Updates für alle unterstützten Versionen seines Windows-Betriebssystems veröffentlicht, der ein kritisches Problem behebt, das bei erfolgreicher Ausnutzung Remotecodeausführung ermöglichen könnte allow.
Insbesondere nutzt die Sicherheitsanfälligkeit ein Problem in der Windows Adobe Type Manager-Bibliothek aus, wenn speziell gestaltete Dokumente mit OpenType-Schriftarten auf das System geladen werden.
Dies kann passieren, wenn Benutzer schädliche Dokumente direkt auf dem System öffnen oder wenn sie Websites besuchen, die eingebettete OpenType-Schriftarten verwenden. Da ATM von anderen Programmen außer Internet Explorer verwendet werden kann, kann dies Auswirkungen auf Systeme haben, auf denen andere Webbrowser zum Surfen im Internet oder zum Öffnen von Dokumenten verwendet werden.
Bei erfolgreicher Ausnutzung können Angreifer die Kontrolle über das System übernehmen, indem sie Programme installieren oder entfernen, Benutzerkonten ändern oder Daten löschen.
Interessant ist, dass der Patch MS15-077 (KB3077657) ersetzt, das Microsoft am 14. Juli 2015 veröffentlicht hat und das eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Schriftartentreiber von Adobe Type Manager behoben hat.
Die Sicherheitsanfälligkeit betrifft alle Windows-Versionen, einschließlich der nicht unterstützten Windows XP- und Windows 2003-Versionen. Während Windows XP keinen der beiden Patches erhielt, erhielt Windows 2003 den ersten der beiden, aber nicht den zweiten aufgrund der EOL-Unterstützung.
Administratoren und Benutzer von Microsoft Windows XP und Windows 2003 können die manuellen Anweisungen zur Problemumgehung auf der offiziellen Bulletin-Website hilfreich finden, die sie verwenden können, um Systeme vor Exploits zu schützen. Das Unternehmen schlägt vor, die Datei atmfd umzubenennen.dll auf Systemen vor Windows 8 und zum Deaktivieren des Adobe Type Managers auf Windows 8 oder neueren Systemen.
atmfd umbenennen.dll auf 32-Bit-Systemen
cd "%windir%\system32"
zum Mitnehmen.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administratoren:(F)
atmfd umbenennen.dll x-atmfd.dll
atmfd umbenennen.dll auf 64-Bit-Systemen
cd "%windir%\system32"
zum Mitnehmen.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administratoren:(F)
atmfd umbenennen.dll x-atmfd.dll
cd "%windir%\syswow64"
zum Mitnehmen.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administratoren:(F)
atmfd umbenennen.dll x-atmfd.dll
Deaktivieren von atmfd unter Windows 8 oder höher
- Tippen Sie auf die Windows-Taste, geben Sie regedit ein und drücken Sie die Eingabetaste.
- Navigieren Sie zum Schlüssel: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD
- Wenn DisableATMFD nicht vorhanden ist, klicken Sie mit der rechten Maustaste auf Windows und wählen Sie Neu > Dword (32-Bit) Value.
- Setzen Sie seinen Wert auf 1.
Der Patch, den Microsoft heute veröffentlicht hat, behebt die Schwachstelle auf allen unterstützten Systemen. Es kann über automatische Updates auf Home-Systemen des Betriebssystems installiert oder über das Microsoft Download Center heruntergeladen werden. Download-Links für jedes betroffene Betriebssystem finden Sie unter „Betroffene Software“ auf der MS15-078-Supportseite.
Microsoft gibt an, dass die Sicherheitsanfälligkeit öffentlich ist, aber derzeit keine Angriffe darauf bekannt sind. Der Charakter der Notfallfreigabe des Patches weist auf eine hohe Wahrscheinlichkeit hin, dass das Problem in naher Zukunft ausgenutzt wird.
Der Exploit wurde entdeckt, nachdem Hacker interne Dateien des italienischen Unternehmens Hacking Team durchgesickert hatten.
