Vulnerabilitate zero-day în toate versiunile de Windows exploatate în prezent în sălbăticie (dar Microsoft nu va corecta Windows 7)

Microsoft a dezvăluit că există o defecțiune neremediată în toate versiunile acceptate de Windows, care este în prezent exploatate în sălbăticie.

Vulnerabilitatea ADV200006 la executarea codului de la distanță pentru analizarea fonturilor de tip 1 implică vulnerabilități din biblioteca Adobe Type Manager, iar Microsoft este conștient de atacuri limitate vizate împotriva erorii.

Există, de fapt, două vulnerabilități în modul în care Biblioteca Windows Adobe Type Manager gestionează necorespunzător un font multi-master special creat – formatul Adobe Type 1 PostScript, iar vulnerabilitățile pot fi exploatate prin convingerea unui utilizator să deschidă un document special creat sau vizându-l în Panoul de previzualizare Windows.

Windows 7, 8.1 și toate versiunile acceptate de Windows 10 sunt afectate, deși Microsoft spune că nu va lansa un patch pentru utilizatorii obișnuiți de Windows 7, ci doar pentru cei cu contracte de asistență extinsă.

În întrebările frecvente ei scriu:

Am nevoie de o licență ESU pentru a primi actualizarea pentru Windows 7, Windows Server 2008 și Windows Server 2008 R2 pentru această vulnerabilitate?

Da, pentru a primi actualizarea de securitate pentru această vulnerabilitate pentru Windows 7, Windows Server 2008 sau Windows Server 2008 R2 trebuie să aveți o licență ESU. Vedea 4522133 pentru mai multe informatii.

De ce nu este lansată această actualizare pentru toți clienții Windows 7?

Windows 7 a ajuns la finalul suportului pe 14 ianuarie 2020. Pentru mai multe informații despre politicile Microsoft privind ciclul de viață, vă rugăm să vizitați Ciclu de viață.

Microsoft dezvoltă un patch și probabil îl va lansa în următorul patch marți. Există totuși soluții, care pot fi văzute la Microsoft aici.