Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2016-7210

Опубликовано: 08 нояб. 2016
Источник: msrc
CVSS3: 4.4
EPSS Средний

Уязвимость утечки информации в OpenType шрифтах, связанная с некорректной обработкой шрифтов драйвером Adobe Type Manager

Описание

Уязвимость существует, когда драйвер Adobe Type Manager некорректно обрабатывает специально подготовленные OpenType шрифты. Злоумышленник, успешно эксплуатировавший уязвимость, способен получить информацию, которая может быть использована для дальнейшей компрометации системы пользователя.

Условия эксплуатации

Злоумышленник может использовать несколько способов для эксплуатации уязвимости, например:

  • Убедить пользователя открыть специально подготовленный документ.
  • Убедить пользователя посетить ненадежный веб-сайт.

Решение

Уязвимость устраняется путем корректировки обработки OpenType шрифтов в драйвере Adobe Type Manager.

Способы защиты

  1. Переименуйте ATMFD.DLL

    • Для 32-битных систем:

      1. Введите следующие команды в окне командной строки с правами администратора:
        cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
      2. Перезагрузите систему.

    • Для 64-битных систем:

      1. Введите следующие команды в окне командной строки с правами администратора:
        cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll cd "%windir%\syswow64" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
      2. Перезагрузите систему.

  2. Дополнительная процедура для Windows 8 и более поздних версий (отключение ATMFD):

    Примечание: Некорректное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Microsoft не может гарантировать, что проблемы, возникающие в результате некорректного использования редактора реестра, могут быть решены. Используйте редактор реестра на свой страх и риск.

    • Метод 1 (редактирование реестра вручную):

      1. Запустите regedit.exe от имени администратора.
      2. В редакторе реестра перейдите к следующему подпункту (или создайте его) и установите значение DWORD на 1:
        HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1
      3. Закройте редактор реестра и перезагрузите систему.

    • Метод 2 (использование управляемого скрипта развертывания):

      1. Создайте текстовый файл с именем ATMFD-disable.reg, содержащий следующий текст:
        Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DisableATMFD"=dword:00000001
      2. Запустите regedit.exe.
      3. В редакторе реестра нажмите меню Файл, затем выберите Импорт.
      4. Перейдите к созданному файлу ATMFD-disable.reg и выберите его.
      5. Нажмите Открыть, затем нажмите ОК для закрытия редактора реестра.

Влияние способов защиты

Программы, зависящие от технологии встроенных шрифтов, могут отображаться некорректно. Отключение ATMFD.DLL может привести к тому, что некоторые приложения прекратят работать корректно, если они используют OpenType шрифты. Microsoft Windows не поставляет никаких OpenType шрифтов по умолчанию, однако сторонние приложения могут их устанавливать и могут быть затронуты данным изменением.

Как отменить способы защиты

  • Для 32-битных систем:

    1. Введите следующие команды в окне командной строки с правами администратора:
      cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl
    2. Перезагрузите систему.

  • Для 64-битных систем:

    1. Введите следующие команды в окне командной строки с правами администратора:
      cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl cd "%windir%\syswow64" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl
    2. Перезагрузите систему.

Дополнительная процедура для Windows 8 и более поздних версий (включение ATMFD):

Примечание: Некорректное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Microsoft не может гарантировать, что проблемы, возникающие в результате некорректного использования редактора реестра, могут быть решены. Используйте редактор реестра на свой страх и риск.

  • Метод 1 (редактирование реестра вручную):

    1. Запустите regedit.exe от имени администратора.
    2. В редакторе реестра перейдите к следующему подпункту и установите значение DWORD на 0:
      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0
    3. Закройте редактор реестра и перезагрузите систему.

  • Метод 2 (использование управляемого скрипта развертывания):

    1. Создайте текстовый файл с именем ATMFD-enable.reg, содержащий следующий текст:
      Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DisableATMFD"=dword:00000000
    2. Запустите regedit.exe.
    3. В редакторе реестра нажмите меню Файл, затем выберите Импорт.
    4. Перейдите к созданному файлу ATMFD-enable.reg и выберите его.
    5. Нажмите Открыть, затем нажмите ОК для закрытия редактора реестра.

Обновления

ПродуктСтатьяОбновление
Windows Vista Service Pack 2
3203859
Security Update
Windows Server 2008 for Itanium-Based Systems Service Pack 2
3203859
Security Update
Windows Server 2008 for 32-bit Systems Service Pack 2
3203859
Security Update
Windows Vista x64 Edition Service Pack 2
3203859
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2
3203859
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
3203859
Security Update
Windows 7 for 32-bit Systems Service Pack 1
31978683197867
Monthly RollupSecurity Only
Windows 7 for x64-based Systems Service Pack 1
31978683197867
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
31978683197867
Monthly RollupSecurity Only
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
31978683197867
Monthly RollupSecurity Only

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

EPSS

Процентиль: 97%
0.35475
Средний

4.4 Medium

CVSS3

Связанные уязвимости

nvd логотип

CVE-2016-7210

CVSS3: 6.5
nvd
больше 8 лет назад

atmfd.dll in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, and 1607, and Windows Server 2016 allows remote attackers to obtain sensitive information from process memory via a crafted Open Type font on a web site, aka "Open Type Font Information Disclosure Vulnerability."

github логотип

GHSA-v3xx-rxcf-rp8q

CVSS3: 6.5
github
около 3 лет назад

atmfd.dll in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, and 1607, and Windows Server 2016 allows remote attackers to obtain sensitive information from process memory via a crafted Open Type font on a web site, aka "Open Type Font Information Disclosure Vulnerability."

fstec логотип

BDU:2016-02397

fstec
больше 8 лет назад

Уязвимость операционной системы Windows, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 97%
0.35475
Средний

4.4 Medium

CVSS3