Slo-Tech - V Windows 10 so odkrilinovo ranljivost, ki ima po Microsoftovi lestvici najvišjo stopnjo resnosti ("kritično") in še ni zakrpana. Težava tiči v Adobe Type Manager Library (atmfd.dl) in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview. Omenjena knjžnica se uporablja za izris pisav PostScript Type 1 v Windows.
Z zlorabo te ranljivost lahko napadalec na sistemu oddaljeno požene zlonamerno kodo. Gre za dve luknji, ki omogočata RCE (remote code execution). Omenjena ranljivost se v praksi že izrablja, dasiravno v omejenem obsegu, je dejal Microsoft. Podrobnosti o tem, kdo in kako jo izkorišča, niso razkrili. Ogrožen je tudi Windows 7, ki pa ni več podprt za domače uporabnike. Popravek, ki bo na voljo v naslednjem ciklu (drugi torek v mesecu), bodo tako dobili le naročniki razširjene podpore, za Windows 10 pa vsi. Do tedaj lahko onesposobimo Preview Pane in Details Pane v Raziskovalcu, izključimo storitev WebCLient ali preimenujemo atmfd.dll. Prvi korak je najmanj škodljiv, saj zgolj onesposobimo del grafičnega vmesnika, ki uporablja pisave, povezane s to knjižnico. Drugi način je uporaben proti oddaljenim napadom, tretji pa je agresiven in lahko onesposobi programe, ki uporabljajo pisave OpenType.
A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?
1. Oseba odpre dokument ki.. kaj - pozene knjiznico? 2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice? 3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.
A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?
1. Oseba odpre dokument ki.. kaj - pozene knjiznico? 2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice? 3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.
je kaksen for-dummies tutorial?
Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.
Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.
Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.
He, he, he... najraje s klik GUI opcijo in YT tutorialom :))
Kolikor je meni znano Windows 10 že precej časa nimajo več atmfd.dll datoteke, ki je bila kernel driver in kot taka res kritična. Menda so že v verziji 1607 to datoteko zamenjali z atmlib.dll, ki deluje izven kernela.
atmlib.dll File description: Windows NT Open Type/Type 1 API Library Company: Adobe Systems
Sem preveril 3 različne Windows 10 PC-je in na nobenem ni atmfd.dll datoteke, je pa atmlib.dll, ki je menda varna.
A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?
1. Oseba odpre dokument ki.. kaj - pozene knjiznico? 2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice? 3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.
je kaksen for-dummies tutorial?
Primer: - greš na firmin file server (shared folder) - tam je v eno mapo nekdo (virus) dal okužen fajl - BUM! je že mimo
Ko namreč odpreš to mapo, bo pokazalo fajle, med njimi okuženega, ki mu bo prikazalo preview (thumbnail slikico namesto generične ikone). Ta preview prikaže omenjena knjižnica. Ki ima luknjo. Ki jo izkoristi koda, ki je v tem fajlu. Kar pomeni, da koda iz fajla zdaj teče na tvojem PC. Po možnosti z najvišjimi prioritetami in dostopom.
Popravek, ne po moznosti. Ta dll je bil nalozen v csrss.exe, tako da bo koda kar fino tekla pod sistemskimi priviledgi. Nisem pa cisto preprican, ce se fonti rendrirajo na odpiranje shara, kolikor se spomnim se niso, je pa res, da spomin na windowse pocasi pesa.
Kolikor je meni znano Windows 10 že precej časa nimajo več atmfd.dll datoteke, ki je bila kernel driver in kot taka res kritična. Menda so že v verziji 1607 to datoteko zamenjali z atmlib.dll, ki deluje izven kernela.
atmlib.dll File description: Windows NT Open Type/Type 1 API Library Company: Adobe Systems
Sem preveril 3 različne Windows 10 PC-je in na nobenem ni atmfd.dll datoteke, je pa atmlib.dll, ki je menda varna.
Na w7 sta obe datoteki, brez nameščenega adobe spywarea.
