Zero-day zranitelnost ve všech verzích Windows, které jsou v současnosti volně využívány (ale Microsoft nebude Windows 7 opravovat)

Společnost Microsoft odhalila, že ve všech podporovaných verzích Windows existuje neopravená chyba, která je v současnosti ve volné přírodě zneužívána.

Chyba zabezpečení ADV200006 Type 1 Font Parsing Remote Execution Code zahrnuje zranitelná místa v knihovně Adobe Type Manager Library a Microsoft si je vědom omezených cílených útoků proti této chybě.

Ve skutečnosti existují dvě zranitelnosti v tom, jak knihovna Windows Adobe Type Manager nesprávně zachází se speciálně vytvořeným multimaster fontem – formát Adobe Type 1 PostScript, a zranitelnosti lze zneužít tím, že přesvědčíte uživatele, aby otevřel speciálně vytvořený dokument nebo si jej prohlédl v Podokno náhledu systému Windows.

Windows 7, 8.1 a všechny podporované verze Windows 10 jsou ovlivněny, i když Microsoft říká, že nevydá opravu pro běžné uživatele Windows 7, ale pouze pro ty, kteří mají smlouvy o prodloužené podpoře.

Ve svých FAQ píší:

Potřebuji licenci ESU k získání aktualizace pro Windows 7, Windows Server 2008 a Windows Server 2008 R2 pro tuto chybu zabezpečení?

Ano, k získání aktualizace zabezpečení pro tuto chybu zabezpečení pro Windows 7, Windows Server 2008 nebo Windows Server 2008 R2 musíte mít licenci ESU. Vidět 4522133 Pro více informací.

Proč tato aktualizace není vydána pro všechny zákazníky Windows 7?

Windows 7 dosáhl konce podpory 14. ledna 2020. Další informace o zásadách životního cyklu společnosti Microsoft naleznete na Životní cyklus.

Microsoft vyvíjí opravu a pravděpodobně ji vydá v příštím opravném úterý. Existují však řešení, která lze vidět v Microsoft zde.