MS09-029：EOT解析引擎中的漏洞

今天，我们发布了MS09-029安全更新，该更新解决了与EOT字体文件相关的漏洞。为解答一些常见问题，以下是关于此更新的简要FAQ：

Q: 什么是EOT文件格式？

A: EOT代表嵌入式OpenType字体。微软应用程序对EOT的支持已存在多年。它允许文档创建时使用的字体随文档一起传输，确保用户看到文档时与设计者的意图完全一致。字体嵌入技术也存在于网页中，允许网页嵌入自己的字体。

Q: 风险是什么？

A: 两个常用的消耗EOT文件的应用程序是Internet Explorer和Microsoft Office。在Internet Explorer中用于渲染特定字体的HTML代码片段可能如下所示：

1
2
3

<style>
@font-face { font-family: “zhfont”; src: url(foo.eot) }
</style>

用户可能导航到一个网站，该网站渲染HTML并尝试加载恶意字体文件。因此，存在“浏览即被攻击”的场景，我们建议尽快更新系统。

Q: 公告中列出的不同变通方案效果如何？

A: 公告中列出的不同变通方案都有效，但ACL’ing t2embed.dll可能是最佳的跨产品方法，因为它还可以防止未识别的应用程序加载t2embed.dll。请记住，如果选择ACL二进制文件作为变通方案，在应用安全更新之前需要取消ACL，否则更新将失败。

Q: 如果我ACL t2embed.dll，IE/Office还能工作吗？

A: 是的。如果您浏览尝试安装字体的网站，您将能够查看网站，但不会渲染该网站提供的字体。

Q: EOT功能是否可通过第三方代码访问？

A: 是的。t2embed库提供可由第三方代码使用的EOT功能。许多第三方导入t2embed进行字体渲染，但有些可能选择实现自己的字体渲染。

• Brian Cavenah, MSRC Engineering

发布内容“按原样”提供，不提供任何保证，也不授予任何权利。