微软紧急发布Type 1字体解析远程代码执行漏洞通告

0x00 漏洞背景微软今天发布了一个新的安全公告，警告数十亿Windows用户两个新的关键，未修复的零日漏洞，这些漏洞可能使黑客远程控制目标计算机。根据Microsoft的说法，这两个未修补的缺陷都已在有限的针对性攻击中使用，并且会影响Windows操作系统的所有受支持版本，包括Windows 10、8.1和Server 2008、2012、2016和2019版本，以及针对Windows 7的版本。Microsoft在2020年1月14日终止了对它的支持。这两个漏洞都位于Windows Adobe Type Manager库中，一种字体解析软件，它不仅可以在使用第三方软件打开时解析内容，还可以被Windows资源管理器用来在“预览窗格”或“详细信息窗格”中显示文件的内容，而无需用户打开它。当Microsoft Type Manager库不适当地“处理特制的多主字体-A ………………………………