CVE-2020-1020

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Adobe Font Manager Library contains an unspecified vulnerability when handling specially crafted multi-master fonts (Adobe Type 1 PostScript format) that allows for remote code execution for all systems except Windows 10. For systems running Windows 10, an attacker who successfully exploited the vulnerability could execute code in an AppContainer sandbox context with limited privileges and capabilities.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в библиотеке Adobe Font Manager (ATMFD.dll) в Microsoft Windows. Атакующий может создать специально сформированный шрифт в формате Adobe Type 1 PostScript (Multi-Master Font) и внедрить его в документ или на веб-страницу. При открытии этого документа или просмотре страницы в уязвимой системе происходит удаленное выполнение кода (RCE) с правами текущего пользователя.

  • Для Windows 7, 8.1 и более старых: Успешная эксплуатация позволяет выполнить код с правами администратора (SYSTEM).
  • Для Windows 10: Код выполняется в изолированной среде AppContainer с ограниченными правами.

Как исправить

Установите официальные обновления безопасности от Microsoft. Ключевые номера обновлений (KB):

  • Windows 10 (все поддерживаемые версии): Установите обновление KB4556799 (май 2020) или более позднее.
  • Windows 8.1 и Windows Server 2012 R2: Установите обновление KB4556846 (май 2020) или более позднее.
  • Windows 7 и Windows Server 2008 R2 (только ESU): Установите обновление KB4556836 (май 2020) или более позднее.

Проверка установки патча: 1. Откройте PowerShell от имени администратора. 2. Выполните команду: bash Get-HotFix -Id KB4556799, KB4556846, KB4556836 | Select-Object HotFixID, InstalledOn Если патч установлен, команда вернет его ID и дату установки.

Автоматическое обновление: Убедитесь, что служба Windows Update включена и работает. Для принудительной проверки:

usoclient StartScan

Временное решение

Если немедленная установка обновлений невозможна, отключите обработку шрифтов Type 1 в библиотеке ATMFD.dll.

Вариант 1: Отключение через реестр (для всех ОС) 1. Откройте Блокнот, вставьте следующий текст и сохраните файл как disable_atmfd.reg: ``` Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000001
```
  1. Запустите этот .reg файл от имени администратора и подтвердите внесение изменений в реестр.
  2. Перезагрузите систему.

Вариант 2: Использование PowerShell (для Windows 10/Server 2016+) Выполните в PowerShell от имени администратора:

New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" -Name "DisableATMFD" -Value 1 -PropertyType DWord -Force
Restart-Computer -Confirm

Важное предупреждение: Это решение отключает рендеринг всех шрифтов PostScript Type 1. Приложения, зависящие от таких шрифтов, могут отображать текст некорректно или не отображать его вовсе. Откатить изменение можно, установив значение "DisableATMFD"=dword:00000000 и перезагрузившись.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей