Vulnerabilidade de dia zero em todas as versões do Windows atualmente sendo exploradas (mas a Microsoft não corrigirá o Windows 7)

A Microsoft revelou que há uma falha não corrigida em todas as versões suportadas do Windows que está sendo explorada atualmente.

A Vulnerabilidade de Execução Remota de Código de Análise de Fonte Tipo 200006 ADV1 envolve vulnerabilidades na Biblioteca do Adobe Type Manager, e a Microsoft está ciente dos ataques direcionados limitados contra o bug.

Na verdade, existem duas vulnerabilidades na forma como a Biblioteca Adobe Type Manager do Windows manipula incorretamente uma fonte multimestre especialmente criada – formato Adobe Type 1 PostScript, e as vulnerabilidades podem ser exploradas convencendo um usuário a abrir um documento especialmente criado ou visualizá-lo no Painel de visualização do Windows.

O Windows 7, 8.1 e todas as versões suportadas do Windows 10 são afetadas, embora a Microsoft diga que não lançará um patch para usuários regulares do Windows 7, mas apenas para aqueles com contratos de suporte estendido.

Em seu FAQ eles escrevem:

Preciso de uma licença ESU para receber a atualização para Windows 7, Windows Server 2008 e Windows Server 2008 R2 para esta vulnerabilidade?

Sim, para receber a atualização de segurança desta vulnerabilidade para Windows 7, Windows Server 2008 ou Windows Server 2008 R2, você deve ter uma licença ESU. Ver 4522133 para obter mais informações.

Por que esta atualização não está sendo lançada para todos os clientes do Windows 7?

O suporte do Windows 7 chegou ao fim em 14 de janeiro de 2020. Para obter mais informações sobre as políticas de ciclo de vida da Microsoft, visite Ciclo da vida.

A Microsoft está desenvolvendo um patch e provavelmente o lançará na próxima Patch Tuesday. No entanto, existem soluções alternativas, que podem ser vistas aqui na Microsoft.