Ranljivost nič dneva v vseh različicah sistema Windows, ki se trenutno izkoriščajo v naravi (vendar Microsoft ne bo popravil Windows 7)

Microsoft je razkril, da je v vseh podprtih različicah operacijskega sistema Windows nepopravljena napaka, ki se trenutno izkorišča v naravi.

Ranljivost pri oddaljenem izvajanju kode pri razčlenjevanju pisave ADV200006 tipa 1 vključuje ranljivosti v knjižnici Adobe Type Manager in Microsoft se zaveda omejenih ciljnih napadov na hrošč.

Dve ranljivosti dejansko obstajata v tem, kako knjižnica Windows Adobe Type Manager nepravilno ravna s posebej izdelano večglavno pisavo – format Adobe Type 1 PostScript, ranljivosti pa je mogoče izkoristiti tako, da prepričate uporabnika, da odpre posebej izdelan dokument ali si ga ogleda v Podokno za predogled sistema Windows.

Prizadeti so Windows 7, 8.1 in vse podprte različice operacijskega sistema Windows 10, čeprav Microsoft pravi, da ne bo izdal popravka za običajne uporabnike sistema Windows 7, ampak samo za tiste s pogodbami o razširjeni podpori.

V svojih pogostih vprašanjih pišejo:

Ali potrebujem licenco ESU za prejemanje posodobitve za Windows 7, Windows Server 2008 in Windows Server 2008 R2 za to ranljivost?

Da, za prejemanje varnostne posodobitve za to ranljivost za Windows 7, Windows Server 2008 ali Windows Server 2008 R2 morate imeti licenco ESU. Glej 4522133 za več informacij.

Zakaj ta posodobitev ni izdana za vse stranke sistema Windows 7?

Windows 7 je dosegel konec podpore 14. januarja 2020. Za več informacij o Microsoftovih pravilnikih o življenjskem ciklu obiščite Življenski krog.

Microsoft razvija popravek in ga bo verjetno izdal v naslednjem popravku v torek. Vendar pa obstajajo rešitve, ki jih je mogoče videti pri Microsoftu tukaj.