当前位置: 安全纵横 > 安全公告

Microsoft Windows嵌入式OpenType字体引擎LZCOMP内存破坏漏洞(MS10-001)

更新日期:2009-01-13
受影响系统:
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Vista SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows 7
Microsoft Windows 2000SP4
描述:
Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows EOT字体引擎解压特制EOT字体的方式存在内存破坏漏洞,如果用户使用可渲染EOT字体的客户端应用(如Internet Explorer、PowerPoint或Word)查看了包含恶意EOT内数据的内容时,可能触发内存访问异常或执行任意指令。
成功利用此漏洞的攻击者便可能完全控制受影响的系统,漏洞在Windows 2000系统中可远程触发,其他Windows系统下默认不太容易利用。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS10-001)以及相应补丁:
MS10-001:Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (972270)
链接:http://www.microsoft.com/technet/security/Bulletin/MS10-001.mspx?pf=true