Vulnerabilidad de día cero en todas las versiones de Windows actualmente explotadas (pero Microsoft no parcheará Windows 7)

Microsoft ha revelado que hay una falla sin parchear en todas las versiones compatibles de Windows que actualmente se está explotando en la naturaleza.

La vulnerabilidad de ejecución remota de código de análisis de fuentes tipo 200006 ADV1 involucra vulnerabilidades en la biblioteca de Adobe Type Manager, y Microsoft tiene conocimiento de ataques dirigidos limitados contra el error.

En realidad, existen dos vulnerabilidades en la forma en que la biblioteca de Adobe Type Manager de Windows maneja incorrectamente una fuente multimaestro especialmente diseñada: el formato Adobe Type 1 PostScript, y las vulnerabilidades se pueden explotar convenciendo a un usuario para que abra un documento especialmente diseñado o viéndolo en el Panel de vista previa de Windows.

Windows 7, 8.1 y todas las versiones compatibles de Windows 10 se ven afectados, aunque Microsoft dice que no lanzarán un parche para los usuarios habituales de Windows 7, sino solo para aquellos con contratos de soporte extendido.

En sus preguntas frecuentes escriben:

¿Necesito una licencia de ESU para recibir la actualización de Windows 7, Windows Server 2008 y Windows Server 2008 R2 para esta vulnerabilidad?

Sí, para recibir la actualización de seguridad de esta vulnerabilidad para Windows 7, Windows Server 2008 o Windows Server 2008 R2, debe tener una licencia ESU. Ver 4522133 para obtener más información.

¿Por qué no se lanza esta actualización para todos los clientes de Windows 7?

Windows 7 llegó al final del soporte el 14 de enero de 2020. Para obtener más información sobre las políticas de ciclo de vida de Microsoft, visite Ciclo vital.

Microsoft está desarrollando un parche y probablemente lo lanzará el próximo martes de parches. Sin embargo, existen soluciones alternativas, que se pueden ver en Microsoft aquí.