CH azonosító
CH-12229Angol cím
Windows update for Font management vulnerabilitiesFelfedezés dátuma
2015.05.12.Súlyosság
MagasÉrintett rendszerek
MicrosoftÉrintett verziók
Microsoft Lync 2010
Microsoft Lync 2013
Microsoft Office 2007
Microsoft Office 2010
Microsoft Windows 7
Microsoft Windows 8
Microsoft Windows 8.1
Microsoft Windows Server 2008
Microsoft Windows Server 2012
Microsoft Windows Vista
Összefoglaló
A Microsoft Windows két sérülékenységét javították, amelyek a TrueType és az OpenType betűtípusok nem megfelelő kezelésével hozhatók összefüggésbe
Leírás
Az egyik – kevésbé kockázatos – rendellenesség a Windows DirectWrite könyvtárában található, és speciálisan szerkesztett OpenType betűtípusok feldolgozásakor adatszivárgást segíthet elő.
A TrueType támogatási hiba ennél több kockázatot vet fel, ugyanis az már jogosulatlan távoli kódfuttatást is lehetővé tehet. Ami még problémásabbá teszi a hibát, hogy az a Windows, a .NET Framework, az Office, a Lync és a Silverlight egyes összetevőiben is jelen van, tehát egy széles körűen kihasználható biztonsági résről van szó.
Arról egyelőre a Microsoft nem nyilatkozott, hogy találkozott-e már olyan exploittal, amely alkalmas lehet a hibák kihasználására. Az azonban biztos, hogy a támadóknak ebből a szempontból nincs különösebben nehéz dolguk, ugyanis mindössze speciális betűtípusokat tartalmazó weboldalak vagy dokumentumok megtekintésére kell rávenniük a felhasználókat.
Megoldás
A Microsoft MS15-044-es biztonsági közleményéhez tartozó hibajavítások telepítése.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: technet.microsoft.com
CVE-2015-1670 - NVD CVE-2015-1670
CVE-2015-1671 - NVD CVE-2015-1671