Luka zero-day we wszystkich wersjach systemu Windows, które są obecnie wykorzystywane na wolności (ale Microsoft nie załata Windows 7)

Microsoft ujawnił, że we wszystkich obsługiwanych wersjach systemu Windows istnieje niezałatana luka, która jest obecnie wykorzystywana na wolności.

Luka ADV200006 Type 1 Parsing Font Parsing Remote Code Execution zawiera luki w bibliotece Adobe Type Manager, a firma Microsoft jest świadoma ograniczonych ataków ukierunkowanych na ten błąd.

W rzeczywistości, w sposobie, w jaki biblioteka Adobe Type Manager systemu Windows niewłaściwie obsługuje specjalnie spreparowaną czcionkę wielowzorcową — format Adobe Type 1 PostScript — istnieją dwie luki. Luki te można wykorzystać, przekonując użytkownika do otwarcia specjalnie spreparowanego dokumentu lub wyświetlenia go w Okienko podglądu systemu Windows.

Dotyczy to Windows 7, 8.1 i wszystkich obsługiwanych wersji Windows 10, chociaż Microsoft twierdzi, że nie wyda łatki dla zwykłych użytkowników Windows 7, ale tylko dla tych, którzy mają umowy o rozszerzoną pomoc techniczną.

W swoim FAQ piszą:

Czy potrzebuję licencji ESU, aby otrzymać aktualizację dla systemu Windows 7, Windows Server 2008 i Windows Server 2008 R2 dotyczącą tej luki?

Tak, aby otrzymać aktualizację zabezpieczeń dotyczącą tej luki w systemie Windows 7, Windows Server 2008 lub Windows Server 2008 R2, musisz mieć licencję ESU. Widzieć 4522133 po więcej informacji.

Dlaczego ta aktualizacja nie jest udostępniana dla wszystkich klientów systemu Windows 7?

Wsparcie dla systemu Windows 7 zakończyło się 14 stycznia 2020 r. Więcej informacji na temat zasad cyklu życia firmy Microsoft można znaleźć na stronie Koło życia.

Microsoft opracowuje poprawkę i prawdopodobnie wyda ją w najbliższy wtorek z łatami. Istnieją jednak obejścia, które można zobaczyć w Microsoft tutaj.