CVE-2015-2426

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

A remote code execution vulnerability exists in Microsoft Windows when the Windows Adobe Type Manager Library improperly handles specially crafted OpenType fonts.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2015-2426) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Для эксплуатации достаточно, чтобы пользователь открыл или просмотрел специально созданный файл шрифта OpenType (например, через документ, веб-страницу или вложение электронной почты). Уязвимость находится в библиотеке Adobe Type Manager (ATMFD.DLL), которая неправильно обрабатывает такие шрифты.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows RT, Windows RT 8.1: Установите обновление MS15-078 (KB3079904). Это критическое обновление заменяет уязвимую библиотеку ATMFD.DLL.

Как установить: 1. Откройте Центр обновления Windows. 2. Проверьте наличие обновлений. Обновление KB3079904 должно быть предложено как критически важное. 3. Установите его и перезагрузите систему.

Альтернативно можно загрузить и установить пакет обновления вручную с сайта Microsoft Update Catalog, выполнив поиск по KB3079904.

Временное решение

Если немедленная установка патча невозможна, примените одно из следующих решений:

  1. Отключите обработку шрифтов библиотекой ATMFD.DLL через реестр (для Windows Vista, 7, 8, Server 2008/2012):

    • Создайте резервную копию реестра.
    • Откройте редактор реестра (regedit).
    • Перейдите к разделу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    • Измените или создайте параметр DWORD (32-bit) с именем DisableATMFD.
    • Установите его значение равным 1.
    • Требуется перезагрузка системы.

  2. Используйте правила блокировки шрифтов в Microsoft EMET (Enhanced Mitigation Experience Toolkit):

    • Установите EMET (если еще не установлен).
    • Настройте правило ATMFD.DLL Mitigation для блокировки уязвимой библиотеки в целевых приложениях (например, браузерах, почтовых клиентах, Adobe Reader).

  3. Организационные меры:

    • Проинструктируйте пользователей не открывать подозрительные файлы и вложения, особенно с расширениями, связанными со шрифтами (.otf, .ttf).
    • Настройте почтовые шлюзы и веб-прокси на блокировку файлов с типами MIME application/vnd.ms-opentype и font/opentype, если это допустимо для бизнес-процессов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей