Microsoft Windows Uniscribe字体解析远程代码执行漏洞(CVE-2013-3181)(MS13-060)

受影响系统:
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Storage Server 2003
描述:
BUGTRAQ ID: 61697
CVE(CAN) ID: CVE-2013-3181

Uniscribe是微软公司开发的Windows操作系统为正确演示Unicode文字而开发的组件。系统的核心是一个名为USP10.DLL的DLL。

受影响Microsoft Windows版本处理OpenType字体时,Unicode Scripts Processor存在远程代码执行漏洞,成功利用此漏洞造成内存破坏,攻击者以当前用户权限执行任意代码。

<*来源:Bob Clary 链接:http://secunia.com/advisories/54364/ http://technet.microsoft.com/security/bulletin/MS13-060 *>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 修改usp10.dll上的ACL。
* 禁用IE中支持解析嵌入式字体。

厂商补丁:

Microsoft
———
Microsoft已经为此发布了一个安全公告(MS13-060)以及相应补丁:
MS13-060:Vulnerability in Unicode Scripts Processor Could Allow Remote Code Execution (2850869)
链接:http://technet.microsoft.com/security/bulletin/MS13-060