Zero-Day-Schwachstelle in allen Windows-Versionen, die derzeit in freier Wildbahn ausgenutzt werden (aber Microsoft patcht Windows 7 nicht)

Microsoft hat enthüllt, dass es in allen unterstützten Versionen von Windows einen ungepatchten Fehler gibt, der derzeit in freier Wildbahn ausgenutzt wird.

Die Schwachstelle ADV200006 Type 1 Font Parsing Remote Code Execution betrifft Schwachstellen in der Adobe Type Manager-Bibliothek, und Microsoft sind sich begrenzte gezielte Angriffe gegen den Fehler bewusst.

Tatsächlich existieren zwei Schwachstellen darin, wie die Adobe Type Manager-Bibliothek von Windows eine speziell gestaltete Multi-Master-Schriftart – das Adobe Type 1 PostScript-Format – unsachgemäß verarbeitet, und die Schwachstellen können ausgenutzt werden, indem ein Benutzer dazu verleitet wird, ein speziell gestaltetes Dokument zu öffnen oder es im Windows-Vorschaubereich.

Windows 7, 8.1 und alle unterstützten Versionen von Windows 10 sind betroffen, obwohl Microsoft sagt, dass sie keinen Patch für normale Windows 7-Benutzer veröffentlichen werden, sondern nur für diejenigen mit Extended Support-Verträgen.

In ihren FAQ schreiben sie:

Benötige ich eine ESU-Lizenz, um das Update für Windows 7, Windows Server 2008 und Windows Server 2008 R2 für diese Schwachstelle zu erhalten?

Ja, um das Sicherheitsupdate für diese Schwachstelle für Windows 7, Windows Server 2008 oder Windows Server 2008 R2 zu erhalten, benötigen Sie eine ESU-Lizenz. Sehen 4522133 um mehr zu erfahren.

Warum wird dieses Update nicht für alle Windows 7-Kunden freigegeben?

Der Support für Windows 7 endete am 14. Januar 2020. Weitere Informationen zu den Lebenszyklusrichtlinien von Microsoft finden Sie unter Lebenszyklus.

Microsoft entwickelt einen Patch und wird ihn voraussichtlich am nächsten Patch Tuesday veröffentlichen. Es gibt jedoch Workarounds, die zu sehen sind bei Microsoft hier.