0patch fixt 0-day Adobe Type Library bug in Windows 7

[English]Die Leute von ACROS Security haben für die in allen Windows-Versionen enthaltene 0-day-Schwachstelle in der Adobe Type 1 Library einen Micropatch für Windows 7 SP1 (ohne ESU) freigegeben.

Die 0-day-Schwachstelle in der Adobe Type Library

Am 23. März 2020 machte Microsoft eine 0-day-Schwachstelle in der Adobe Type Library aller noch unterstützten Windows-Versionen öffentlich. Gemäß ADV200006 schreibt Microsoft, dass es in Microsoft Windows zwei Sicherheitslücken gibt, die eine Remote-Codeausführung ermöglichen, weil die Windows Adobe Type Manager Library eine speziell entwickelte Multi-Master-Schriftart – das Adobe Type 1 PostScript-Format – nicht korrekt verarbeitet.

Ein Angreifer kann die Sicherheitslücke ausnutzen, wenn er z. B. einen Benutzer dazu bringt, ein speziell gestaltetes Dokument zu öffnen oder es im Windows-Vorschaufenster anzuzeigen. Microsoft arbeitet an einer Lösung zur Beseitigung dieser Schwachstelle und hat in ADV200006 einige Maßnahmen zur Milderung des Problems gepostet. Ich hatte im Blog-Beitrag 0-Day-Schwachstelle in Windows Adobe Type Library ausführlich berichtet.

0patch bringt einen Fix für Windows 7 SP1

Mit dem Sicherheitshinweise in ADV200006 sind gleich zwei Probleme verbunden: Es gibt aktuell keinen Patch von Microsoft, und Benutzer von Windows 7 SP1 und Windows Server 2008 R2, die keine ESU-Lizenz besitzen, bekommen die von Microsoft freigegebenen Sicherheitsupdates aber nicht mehr.

Gestern hatte ich schon mitbekommen, dass ACROS Security einen Micropatch für die 0-day-Schwachstelle entwickelt hat und am Testen ist. Ich hatte Mitja Kolsek von ACROS Security gebeten, mich über diesen Vorgang auf dem Laufenden zu halten. Gerade bin ich über eine private Information darüber informiert worden, dass der Micropatch für Windows 7 SP1 und Windows Server 2008 R2 freigegeben wurde. Es gibt inzwischen auch eine Meldung auf Twitter.

Wegen der Bedeutung für Windows 7-Nutzer hat ACROS Security beschlossen, den Micropatch nicht nur für deren kostenpflichtigen PRO-Plan, sondern auch für alle Nutzer, also auch für alle Nutzer von 0patch Free, freizugeben. Wer also den 0patch-Agenten unter Windows 7 SP1 installiert hat, wird durch den Micropatch vor der 0-day-Schwachstelle geschützt. Der Micropatch steht für alle 0patch-Nutzer für Windows 7 64-Bit sowie für Windows Server 2008 R2 über die 0patch PRO-Lösung zur Verfügung.

Eine Portierung für weitere Windows-Versionen ist gemäß obigem Tweet angedacht. ACROS Security hat diesen Blog-Beitrag mit weiteren Informationen zum Thema veröffentlicht. Es gibt zudem eine Serie an Tweets mit weiteren Details. Hinweise zur Arbeitsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Arbeitsspeicher lädt, finden sich in den Blog-Beiträgen (z.B. hier und hier), die ich nachfolgend verlinkt habe.

Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library

Dieser Beitrag wurde unter Problemlösung, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu 0patch fixt 0-day Adobe Type Library bug in Windows 7

  1. Ralf Lindemann sagt:

    Danke für die Info.

    0Patch kann parallel zu Windows 7 mit ESU verwendet werden[*]. Grundsätzlich ist der Micropatch damit für alle Win 7-Nutzer interessant, da Microsoft wohl erst zum Patchday ein Update vorlegen wird … Witzig: Damit ist Windows 7 in einer besseren Situation als Win 8 / Win 10, die „nur“ Support von Microsoft bekommen …
    ___________
    [*] https://0patch.zendesk.com/hc/en-us/articles/360011192299-Can-I-use-0patch-in-parallel-to-Windows-Extended-Security-Updates-

  2. LotharV sagt:

    Kann mir jemand bitte dazu was sagen?
    Warum kann ich die Datei atmfd.dll nicht einfach löschen?

    • Günter Born sagt:

      Weil Du die ggf. später wieder brauchst.

      • LotharV sagt:

        Ja, OK! Aber warum gibt’s nicht einfach eine neue DLL zum Download, die installiere ich drüber und fertig?

        • LotharV sagt:

          Hat jemand den Update denn schon draufgespielt?

          Welche Datei-Version ist diese dann aktuell (32/64bit)?

          Danke.

        • Steter Tropfen sagt:

          Verständnisfrage: MS hat es noch immer nicht geschafft, eine abgesicherte dll zu stricken. Wie kommt dann opatch zu einem Fix?

          Und irre ich mich, oder ist die dll für alle Windows-Versionen (mit gleicher Bittiefe) verwendbar? Das heißt, sobald MS endlich für Windows 8 was rausbringt, wird man das auch in Windows 7 reinschrauben können – oder?

          • LotharV sagt:

            Meines Wissens gibt’s keine Unterscheidung zwischen Win7 und Win8. Es wird nur zwischen 32 und 64bit unterschieden.

          • Günter Born sagt:

            0patch bekommt von diversen Leuten ggf. PoCs und schaut sich diese an. Anschließend entwickelt man einen Micropatch, der dann die Schwachstelle ausputzt. Im aktuellen Fall hat man sich angeschaut, wie sich die Schwachstelle auf die Explorer-Anzeige etc. auswirkt und dort gepatcht. Lässt sich aber in dem verlinkten 0patch-Beitrag nachlesen.

  3. LotharV sagt:

    @Günter: opatch ist für mich nicht die Lösung. Warum sei mal dahingestellt.

    Dass es momentan nur 64 bit gibt habe ich gelesen, aber es steht ja auch drinne, dass sie an den anderen arbeiten. Und vielleicht kann jemand in ein paar Tagen was dazu sagen.

    Danke

    • Günter Born sagt:

      Die Frage macht aber nur dann Sinn, wenn Microsoft ein offizielles Update freigibt. Sofern dieses zum April 2020-Patchday herauskommt, ist noch viel Zeit …
      bis dahin ist eine diesbezügliche Frage im Haufen der Kommentare unendlich weit nach unten gerutscht. Eine Beantwortung ist also unwahrscheinlich, auch wenn jemand den Patch hätte. Sobald dieser von MS draußen ist, kann man sich die Dateidaten aus den KB-Artikeln rausziehen (meist verlinkt MS ja eine Excel-Datei mit den Details der Dateien).

  4. Stern sagt:

    Im verlinkten Sicherheitshinweis ADV200006 schreibt Microsoft: „Microsoft is not aware of any attacks against the Windows 10 platform. The possibility of remote code execution is negligible and elevation of privilege is not possible. We do not recommend that IT administrators running Windows 10 implement the workarounds described below.“

    Gibt es dazu irgendwelche Neuigkeiten? Ist Win 10 doch gar nicht betroffen?

  5. LotharV sagt:

    @Günter:
    Sorry inzwischen ist es mir auch gekommen, bin auf der Leitung gestanden!

    0patch tauscht ja nicht die Datei aus.

    Schönes Wochenende.

    • Günter Born sagt:

      Ist ja kein Problem, nur versuche ich hier meinen Input in Sachen Antworten auf Anfragen zu minimieren, um ggf. mehr Blog-Posts aufbereiten zu können (neben meinen vier Blogs, die täglich befüttert werden greift heise aktuell auch einiges für seinen Newsticker ab).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert