Уязвимость нулевого дня во всех версиях Windows, которые в настоящее время эксплуатируются в дикой природе (но Microsoft не будет исправлять Windows 7)

Microsoft обнаружила, что во всех поддерживаемых версиях Windows есть неисправленная уязвимость, которая в настоящее время активно эксплуатируется.

Уязвимость ADV200006 Type 1 Font Parsing, связанная с удаленным выполнением кода, связана с уязвимостями в библиотеке Adobe Type Manager, и Microsoft известно об ограниченных целевых атаках на эту ошибку.

На самом деле существуют две уязвимости в том, как библиотека Windows Adobe Type Manager неправильно обрабатывает специально созданный шрифт с несколькими мастерами — формат Adobe Type 1 PostScript, и эти уязвимости можно использовать, убедив пользователя открыть специально созданный документ или просмотреть его в Панель предварительного просмотра Windows.

Затронуты Windows 7, 8.1 и все поддерживаемые версии Windows 10, хотя Microsoft заявляет, что не будет выпускать патч для обычных пользователей Windows 7, а только для тех, у кого есть контракты на расширенную поддержку.

В FAQ они пишут:

Нужна ли мне лицензия ESU, чтобы получить обновление для Windows 7, Windows Server 2008 и Windows Server 2008 R2 для устранения этой уязвимости?

Да, чтобы получить обновление безопасности для этой уязвимости для Windows 7, Windows Server 2008 или Windows Server 2008 R2, вы должны иметь лицензию ESU. Видеть 4522133 чтобы получить больше информации.

Почему это обновление не выпускается для всех пользователей Windows 7?

Поддержка Windows 7 закончилась 14 января 2020 г. Дополнительные сведения о политиках жизненного цикла Microsoft см. на странице Жизненный цикл.

Microsoft разрабатывает патч и, скорее всего, выпустит его в следующий вторник исправлений. Однако существуют обходные пути, которые можно увидеть в Microsoft здесь.