Vulnerabilità zero-day in tutte le versioni di Windows attualmente sfruttate in natura (ma Microsoft non patcherà Windows 7)

Microsoft ha rivelato che c'è un difetto senza patch in tutte le versioni supportate di Windows che viene attualmente sfruttato in natura.

La vulnerabilità legata all'esecuzione di codice in modalità remota di analisi dei caratteri di tipo 200006 di ADV1 comporta vulnerabilità nella libreria di Adobe Type Manager e Microsoft è a conoscenza di attacchi mirati limitati contro il bug.

In realtà esistono due vulnerabilità nel modo in cui la libreria Adobe Type Manager di Windows gestisce in modo improprio un font multi-master appositamente predisposto: il formato PostScript Adobe Type 1, e le vulnerabilità possono essere sfruttate convincendo un utente ad aprire un documento appositamente predisposto o visualizzandolo nel Riquadro Anteprima di Windows.

Windows 7, 8.1 e tutte le versioni supportate di Windows 10 sono interessate, anche se Microsoft afferma che non rilascerà una patch per gli utenti regolari di Windows 7, ma solo per quelli con contratti di supporto esteso.

Nelle loro FAQ scrivono:

È necessaria una licenza ESU per ricevere l'aggiornamento per Windows 7, Windows Server 2008 e Windows Server 2008 R2 per questa vulnerabilità?

Sì, per ricevere l'aggiornamento della protezione per questa vulnerabilità per Windows 7, Windows Server 2008 o Windows Server 2008 R2 è necessario disporre di una licenza ESU. Vedere 4522133 per maggiori informazioni.

Perché questo aggiornamento non viene rilasciato per tutti i clienti di Windows 7?

Windows 7 ha raggiunto la fine del supporto il 14 gennaio 2020. Per ulteriori informazioni sui criteri del ciclo di vita di Microsoft, visitare Ciclo vitale.

Microsoft sta sviluppando una patch e probabilmente la rilascerà nel prossimo Patch Tuesday. Esistono tuttavia soluzioni alternative, che possono essere viste qui alla Microsoft.