Microsoft обновила EMET до версии 5.5 [1,2,3,4,5,6]. Новую версию инструмента можно сказать по этой ссылке. Как мы уже указывали в информации к бета версии, в инструмент была добавлена существенная функция безопасности под названием «Block Untrusted Fonts» для противодействия Local Privilege Escalation (LPE) эксплойтам, которые используются вредоносными программами и RCE эксплойтами для повышения своих прав в системе. Речь идет о защите от LPE эксплойтов, использующих специальным образом сформированные файлы шрифтов для срабатывания уязвимостей в драйвере win32k.sys.
![image](https://habrastorage.org/getpro/habr/post_images/630/ea0/2ba/630ea02babba6a158419be2f5f5bc392.jpg)
К сожалению, новая функция доступна только пользователям Windows 10, т. к. ее реализация опирается на новые возможности ядра ОС, доступные только в этой ней. EMET 5.5 — это первая release-версия инструмента, в которой добавлена поддержка Windows 10.
![](https://habrastorage.org/files/742/72d/ec9/74272dec922f43d6b78bd812d1a68e44.png)
Рис. Функция «Block Untrusted Fonts» включена для всей системы и будет блокировать попытки загрузки в память процессов TTF-файлов, расположенных за пределами директории %windir%/fonts.
![image](https://habrastorage.org/getpro/habr/post_images/630/ea0/2ba/630ea02babba6a158419be2f5f5bc392.jpg)
К сожалению, новая функция доступна только пользователям Windows 10, т. к. ее реализация опирается на новые возможности ядра ОС, доступные только в этой ней. EMET 5.5 — это первая release-версия инструмента, в которой добавлена поддержка Windows 10.
![](https://habrastorage.org/files/742/72d/ec9/74272dec922f43d6b78bd812d1a68e44.png)
Рис. Функция «Block Untrusted Fonts» включена для всей системы и будет блокировать попытки загрузки в память процессов TTF-файлов, расположенных за пределами директории %windir%/fonts.
sarhome
Почему к сожалению?