阿里云漏洞库

漏洞描述

当Windows Adobe Type Manager Library不适当地处理特制的OpenType字体（也称为“ OpenType字体解析远程执行代码漏洞”）时，Microsoft Windows中存在一个远程执行代码漏洞。此CVE ID从CVE-2019-1419起是唯一的。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-1456
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1456
https://www.zerodayinitiative.com/advisories/ZDI-19-986/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	amazon linux_2	edk2	*		Up to (excluding) 20200801stable-1.amzn2.0.1
	运行在以下环境
	系统	amazon_2	edk2	*		Up to (excluding) 20200801stable-1.amzn2.0.1
	运行在以下环境
	系统	debian_10	edk2	*		Up to (excluding) 0~20181115.85588389-3+deb10u2
	运行在以下环境
	系统	debian_11	edk2	*		Up to (excluding) 2020.11-2
	运行在以下环境
	系统	debian_9	edk2	*		Up to (excluding) 0~20161202.7bbe0b3e-1+deb9u2
	运行在以下环境
	系统	debian_sid	edk2	*		Up to (excluding) 2021.08-3
	运行在以下环境
	系统	fedora_33	edk2	*		Up to (excluding) 20200801stable-1.fc33
	运行在以下环境
	系统	microsoft	windows_10	-	-
	运行在以下环境
	系统	microsoft	windows_10	1607	-
	运行在以下环境
	系统	microsoft	windows_10	1709	-
	运行在以下环境
	系统	microsoft	windows_10	1803	-
	运行在以下环境
	系统	microsoft	windows_10	1809	-
	运行在以下环境
	系统	microsoft	windows_10	1903	-
	运行在以下环境
	系统	microsoft	windows_7	-	-
	运行在以下环境
	系统	microsoft	windows_8.1	-	-
	运行在以下环境
	系统	microsoft	windows_rt_8.1	-	-
	运行在以下环境
	系统	microsoft	windows_server_2008	-	-
	运行在以下环境
	系统	microsoft	windows_server_2008	r2	-
	运行在以下环境
	系统	microsoft	windows_server_2012	-	-
	运行在以下环境
	系统	microsoft	windows_server_2012	r2	-
	运行在以下环境
	系统	microsoft	windows_server_2016	-	-
	运行在以下环境
	系统	microsoft	windows_server_2016	1803	-
	运行在以下环境
	系统	microsoft	windows_server_2016	1903	-
	运行在以下环境
	系统	microsoft	windows_server_2019	-	-
	运行在以下环境
	系统	opensuse_Leap_15.1	edk2	*		Up to (excluding) 2017+git1510945757.b2662641d5-lp151.11.3.1
	运行在以下环境
	系统	opensuse_Leap_15.2	edk2	*		Up to (excluding) 201911-lp152.6.5.1
	运行在以下环境
	系统	oracle linux_8	edk2	*		Up to (excluding) 20190829git37eef91017ad-9.el8
	运行在以下环境
	系统	sles_12	ovmf-2015+git1462940744.321151f	*		Up to (excluding) 19.10
	运行在以下环境
	系统	sles_12_SP4	edk2	*		Up to (excluding) 3.23.1
	运行在以下环境
	系统	sles_12_SP5	edk2	*		Up to (excluding) 3.23.1
	运行在以下环境
	系统	suse_12	ovmf-2015+git1462940744.321151f	*		Up to (excluding) 19.10
	运行在以下环境
系统	suse_12_SP4	qemu-ovmf-x86_64	*		Up to (excluding) 3.23.1
运行在以下环境
系统	suse_12_SP5	qemu-ovmf-x86_64	*		Up to (excluding) 3.23.1
运行在以下环境
系统	ubuntu_16.04.7_lts	edk2	*		Up to (excluding) 0~20160408.ffea0a2c-2ubuntu0.1
运行在以下环境
系统	ubuntu_16.04_lts	edk2	*		Up to (excluding) 0~20160408.ffea0a2c-2ubuntu0.1
运行在以下环境
系统	ubuntu_16.04_lts	edk2	*		Up to (excluding) 0~20160408.ffea0a2c-2ubuntu0.2
运行在以下环境
系统	ubuntu_16.04_lts	edk2	*		Up to (excluding) 2021-02-23
运行在以下环境
系统	ubuntu_18.04.5_lts	edk2	*		Up to (excluding) 0~20180205.c0d9813c-2ubuntu0.2
运行在以下环境
系统	ubuntu_18.04_lts	edk2	*		Up to (excluding) 0~20180205.c0d9813c-2ubuntu0.2
运行在以下环境
系统	ubuntu_18.04_lts	edk2	*		Up to (excluding) 0~20180205.c0d9813c-2ubuntu0.3
运行在以下环境
系统	ubuntu_18.04_lts	edk2	*		Up to (excluding) 2021-03-29

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

需要
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-787	跨界内存写

OpenType 字体分析远程执行代码漏洞

漏洞描述

解决建议

参考链接

受影响软件情况