微软公司今天透露，黑客正在利用两个以前未知的漏洞，这两个漏洞存在于所有受支持的Windows版本中，并且补丁还不可用。

远程代码执行漏洞是在AdobeType Manager库(atmfd.dll)中发现的，Windows使用该库在Windows内部呈现PostScriptType1字体。攻击者可以通过多种方式利用漏洞，例如说服用户打开特制的文档或在Windows预览窗格中查看该文档。

攻击范围到底有多广还不清楚。微软只表示知道“有限目标攻击”。虽然目前没有帮助，但微软确实注意到它正在被修复，这可能是其周二每月补丁安全发布的一部分。下一个补丁计划于4月14日星期二发布。

微软推荐了几种Windows用户可以采取的缓解措施，包括禁用Windows资源管理器中的预览窗格和详细信息窗格、禁用Web客户端服务以及重命名AT mfd.dll。

电子设计自动化公司SynopsysInc的高级安全策略师Jonathan Knudsen告诉硅谷：“首先，创建软件本质上是一种制造，即从软件组件组装成品，就像从成千上万个单独的组件组装飞机一样。”制造商有责任跟踪这些零件，以确保它们是正确和安全的。在这种情况下，微软实际上是在报告包含影响微软产品的漏洞的Adobe组件。

其次，他说，有时候坏人只是发现了漏洞。Knudsen解释说：“当白帽研究人员发现漏洞时，他们会协调披露，这样软件供应商就有机会在漏洞被披露之前修复他们的软件。”然而，在这种情况下，微软似乎发现了这个弱点，因为它已经在野外使用了。这意味着他们已经发布了安全建议，但他们必须尽快准备补丁。