Vulnérabilité zero-day dans toutes les versions de Windows actuellement exploitées à l'état sauvage (mais Microsoft ne corrigera pas Windows 7)

Microsoft a révélé qu'il existe une faille non corrigée dans toutes les versions prises en charge de Windows qui est actuellement exploitée à l'état sauvage.

La vulnérabilité d'exécution de code à distance d'analyse de polices de type 200006 ADV1 implique des vulnérabilités dans la bibliothèque Adobe Type Manager, et Microsoft a connaissance d'attaques ciblées limitées contre le bogue.

Deux vulnérabilités existent en fait dans la façon dont la bibliothèque Windows Adobe Type Manager gère de manière incorrecte une police multimaître spécialement conçue - le format PostScript Adobe Type 1, et les vulnérabilités peuvent être exploitées en convainquant un utilisateur d'ouvrir un document spécialement conçu ou en l'affichant dans le Volet de prévisualisation de Windows.

Windows 7, 8.1 et toutes les versions prises en charge de Windows 10 sont concernés, bien que Microsoft indique qu'il ne publiera pas de correctif pour les utilisateurs réguliers de Windows 7, mais uniquement pour ceux qui ont des contrats de support étendu.

Dans leur FAQ, ils écrivent :

Ai-je besoin d'une licence ESU pour recevoir la mise à jour pour Windows 7, Windows Server 2008 et Windows Server 2008 R2 pour cette vulnérabilité ?

Oui, pour recevoir la mise à jour de sécurité pour cette vulnérabilité pour Windows 7, Windows Server 2008 ou Windows Server 2008 R2, vous devez disposer d'une licence ESU. Voir 4522133 pour plus d'information.

Pourquoi cette mise à jour n'est-elle pas publiée pour tous les clients Windows 7 ?

Windows 7 a atteint la fin du support le 14 janvier 2020. Pour plus d'informations sur les politiques de cycle de vie de Microsoft, veuillez visiter Cycle de la vie.

Microsoft développe un correctif et le publiera probablement lors du prochain correctif mardi. Il existe cependant des solutions de contournement, que l'on peut voir chez Microsoft ici.