Zero-day-kwetsbaarheid in alle versies van Windows die momenteel in het wild worden uitgebuit (maar Microsoft zal Windows 7 niet patchen)

Microsoft heeft onthuld dat er een niet-gepatchte fout zit in alle ondersteunde versies van Windows die momenteel in het wild worden uitgebuit.

De ADV200006 Type 1 Font Parsing Remote Code Execution Kwetsbaarheid betreft kwetsbaarheden in de Adobe Type Manager Library, en Microsoft is op de hoogte van beperkte gerichte aanvallen tegen de bug.

Er bestaan ​​eigenlijk twee kwetsbaarheden in de manier waarop de Windows Adobe Type Manager-bibliotheek op onjuiste wijze omgaat met een speciaal vervaardigd multi-master-lettertype - Adobe Type 1 PostScript-indeling, en de kwetsbaarheden kunnen worden misbruikt door een gebruiker te overtuigen een speciaal vervaardigd document te openen of het te bekijken in de Windows Voorbeeldvenster.

Windows 7, 8.1 en alle ondersteunde versies van Windows 10 worden beïnvloed, hoewel Microsoft zegt dat ze geen patch zullen uitbrengen voor gewone Windows 7-gebruikers, maar alleen voor gebruikers met Extended Support-contracten.

In hun FAQ schrijven ze:

Heb ik een ESU-licentie nodig om de update voor Windows 7, Windows Server 2008 en Windows Server 2008 R2 voor dit beveiligingslek te ontvangen?

Ja, om de beveiligingsupdate voor dit beveiligingslek voor Windows 7, Windows Server 2008 of Windows Server 2008 R2 te ontvangen, moet u een ESU-licentie hebben. Zien 4522133 voor meer informatie.

Waarom wordt deze update niet voor alle Windows 7-klanten uitgebracht?

De ondersteuning voor Windows 7 is op 14 januari 2020 beëindigd. Ga voor meer informatie over het levenscyclusbeleid van Microsoft naar: Levenscyclus.

Microsoft is bezig met het ontwikkelen van een patch en zal deze waarschijnlijk in de volgende patch-dinsdag uitbrengen. Er zijn echter oplossingen, die kunnen worden gezien bij Microsoft hier.