CVE-2016-7256

Описание

Злоумышленник, которому удалось бы эксплуатировать эту уязвимость, способен получить контроль над затронутой системой и выполнять нежелательные действия, такие как установка программ, просмотр, изменение или удаление данных, а также создание новых учетных записей с полными правами пользователей.

Условия эксплуатации

Есть несколько способов, которыми злоумышленник может эксплуатировать уязвимость:

1. Сценарий атаки через веб: Злоумышленник может разместить специально подготовленный сайт, созданный для эксплуатации уязвимости, и убедить пользователя перейти на этот сайт. Злоумышленник не способен заставить пользователя просмотреть контролируемый им контент; ему необходимо убедить пользователя предпринять действия (например, щелкнув на ссылку в письме или сообщении).
2. Сценарий атаки через обмен файлами: Злоумышленник может предоставить специально подготовленный документ, созданный для эксплуатации уязвимости, и убедить пользователя открыть этот документ.

Решение

Обновление безопасности устраняет уязвимость, исправляя некорректную обработку встроенных шрифтов библиотекой шрифтов Windows.

Меры защиты

Переименование файла ATMFD.DLL

• Для 32-разрядных систем:

  1. Откройте командную строку с правами администратора и введите следующие команды:
     cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
  2. Перезагрузите систему.

• Для 64-разрядных систем:

  1. Введите те же команды в директории %windir%\system32, а затем повторите эти команды в директории %windir%\syswow64:
     cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll cd "%windir%\syswow64" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
  2. Перезагрузите систему.

Дополнительная информация

При отключении ATMFD.DLL некоторые приложения, которые зависят от встроенной технологии шрифтов, могут отображаться некорректно. Отключение ATMFD.DLL может привести к тому, что определенные приложения, использующие шрифты OpenType, перестанут работать должным образом.

Как отменить временные меры

• Для 32-разрядных систем:

  1. Введите следующие команды:
     cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl
  2. Перезагрузите систему.

• Для 64-разрядных систем:

  1. Введите команды для обеих директорий:
     cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl cd "%windir%\syswow64" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl
  2. Перезагрузите систему.

Дополнительная процедура для включения ATMFD

Метод 1 (вручную отредактировать реестр системы):

1. Запустите regedit.exe с правами администратора.
2. В редакторе реестра перейдите к следующему подразделу и установите его значение DWORD в 0:
   HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0
3. Закройте редактор реестра и перезагрузите систему.

Метод 2 (использовать скрипт развертывания):

1. Создайте текстовый файл с именем ATMFD-enable.reg, который будет содержать следующий текст:
   Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DisableATMFD"=dword:00000000
2. Запустите regedit.exe.
3. В редакторе реестра на вкладке Файл выберите Импорт.
4. Перейдите к созданному файлу ATMFD-enable.reg и выберите его.
5. Нажмите Открыть, а затем ОК, чтобы закрыть редактор реестра.