פגיעות של יום אפס בכל הגירסאות של Windows המנוצלות כעת בטבע (אך מיקרוסופט לא תתקן את Windows 7)

מיקרוסופט חשפה שיש פגם שלא תוקן בכל הגירסאות הנתמכות של Windows המנוצל כעת בטבע.

פגיעות ADV200006 Type 1 Font Parsing Remote Code Execution כרוכה בפגיעויות בספריית Adobe Type Manager, ומיקרוסופט מודעת להתקפות ממוקדות מוגבלות נגד הבאג.

שתי פגיעויות קיימות למעשה באופן שבו ספריית Windows Adobe Type Manager מטפלת באופן שגוי בגופן רב מאסטר בעל מבנה מיוחד - פורמט Adobe Type 1 PostScript, וניתן לנצל את הפגיעויות על ידי שכנוע משתמש לפתוח מסמך בעל מבנה מיוחד או לצפות בו ב- חלונית התצוגה המקדימה של Windows.

Windows 7, 8.1 וכל הגירסאות הנתמכות של Windows 10 מושפעות, אם כי מיקרוסופט טוענת שהם לא ישחררו תיקון עבור משתמשי Windows 7 רגילים, אלא רק לאלה עם חוזי תמיכה מורחבים.

בשאלות הנפוצות שלהם הם כותבים:

האם אני צריך רישיון ESU כדי לקבל את העדכון עבור Windows 7, Windows Server 2008 ו-Windows Server 2008 R2 עבור פגיעות זו?

כן, כדי לקבל את עדכון האבטחה עבור פגיעות זו עבור Windows 7, Windows Server 2008 או Windows Server 2008 R2, עליך להיות בעל רישיון ESU. לִרְאוֹת 4522133 לקבלת מידע נוסף.

מדוע עדכון זה אינו מופץ עבור כל לקוחות Windows 7?

Windows 7 הגיע לסיום התמיכה ב-14 בינואר 2020. למידע נוסף על מדיניות מחזור החיים של Microsoft, בקר בכתובת מעגל החיים.

מיקרוסופט מפתחת תיקון וככל הנראה תשחרר אותו ביום שלישי הבא. עם זאת קיימות דרכים לעקיפת הבעיה, שניתן לראות אצל מיקרוסופט כאן.