Nulladik napi sebezhetőség a Windows összes jelenleg vadon kihasznált verziójában (de a Microsoft nem javítja a Windows 7-et)

A Microsoft felfedte, hogy a Windows összes támogatott verziójában van egy javítatlan hiba, amelyet jelenleg a természetben használnak ki.

Az ADV200006 típusú, 1-es típusú betűtípus-elemzés távoli kódvégrehajtási biztonsági rése az Adobe Type Manager Library biztonsági rését tartalmazza, és a Microsoft tisztában van a programhiba elleni korlátozott célzott támadásokkal.

Valójában két sebezhetőség létezik abban, hogy a Windows Adobe Type Manager Library nem megfelelően kezeli a speciálisan kialakított, több főből álló betűtípust – Adobe Type 1 PostScript formátumot, és a sérülékenységek kihasználhatók úgy, hogy meggyőzik a felhasználót, hogy nyissa meg egy speciálisan kialakított dokumentumot, vagy nézze meg azt a A Windows előnézeti ablaktáblája.

A Windows 7, 8.1 és a Windows 10 összes támogatott verziója érintett, bár a Microsoft azt állítja, hogy a rendszeres Windows 7 felhasználóknak nem adnak ki javítást, csak a kiterjesztett támogatási szerződéssel rendelkezőknek.

A GYIK-ben ezt írják:

Szükségem van ESU-licencre, hogy megkapjam a Windows 7, Windows Server 2008 és Windows Server 2008 R2 frissítését a biztonsági rés miatt?

Igen, a biztonsági résre vonatkozó biztonsági frissítés Windows 7, Windows Server 2008 vagy Windows Server 2008 R2 rendszerhez való hozzájutásához ESU-licenc szükséges. Lát 4522133 további információért.

Miért nem adják ki ezt a frissítést minden Windows 7-ügyfél számára?

A Windows 7 támogatása 14. január 2020-én véget ért. A Microsoft életciklus-szabályzatával kapcsolatos további információkért látogasson el ide: Életciklus.

A Microsoft javítást fejleszt, és valószínűleg a következő javítási kedden fogja kiadni. Vannak azonban megoldások, amelyek láthatók itt a Microsoftnál.