Microsoft、Windowsの未修正脆弱性を公表

　headless曰く、

　Microsoftは23日、Windowsの未修正脆弱性を公表した（ADV200006、Neowin、Ars Technica、The Verge）。

　脆弱性はAdobe Type Manager LibraryがAdobe Type 1 PostScriptフォントを扱う方法に存在する2件のリモートコード実行脆弱性で、既にWindows 7をターゲットにした限定的な攻撃が確認されているという。攻撃者は特別に細工したドキュメントをターゲットに開かせたり、エクスプローラーのプレビューウィンドウに表示させたりすることで脆弱性を悪用できる。

　脆弱性の影響を受けるのはWindows 7/Server 2008以降すべてのバージョンのWindowsとなっているが、Windows 10およびServer 2016以降では攻撃が成功してもコードはAppContainerサンドボックス内で実行されるため影響は小さい。ただし、Windows 10バージョン1607以前とServer 2016の場合、インストールされたフォントはカーネルモードで処理されるそうだ。

　回避策としてはエクスプローラーでの詳細ウィンドウ/プレビューウィンドウや縮小版の非表示、WebClientサービスの無効化、ATMFD.DLLのリネームといったものが挙げられている。この脆弱性を修正する更新プログラムは未公開であり、現時点では今後の月例更新で修正する計画のようだ。ただし、攻撃が確認されている場合は報告から7日間で情報を公開するというポリシーに従い、影響を受けるWindowsバージョンや回避策などを公開したとのこと。

　なお、Microsoftでは公衆衛生上の大きな問題が発生している現状を考慮し、（現在Cリリース/Dリリースとして月2回提供している）セキュリティコンテンツを含まないオプションの更新プログラムの提供を5月以降は一時停止し、セキュリティ修正に注力するとのことだ（Windowsメッセージセンター）。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | Windows

　関連ストーリー：
Microsoft、SMBv3の脆弱性を修正する更新プログラムを公開 2020年03月14日
Microsoft、不具合報告を受けてWindows 10向けセキュリティ更新プログラムKB4524244の提供を中止 2020年02月21日
Microsoft、2月の月例更新でInternet Explorerのゼロデイ脆弱性を修正 2020年02月14日