Menu kategorii
  • Niezałatana krytyczna podatność zero-day w Windows 10, 8.1 i 7

    Niezałatana krytyczna podatność zero-day w Windows 10, 8.1 i 7

     Krzysztof Sulikowski
    Krzysztof Sulikowski
    11:49
    24.03.2020
    1475 wyświetleń

    Microsoft potwierdził istnienie krytycznej luki, a właściwie to dwóch luk w zabezpieczeniach w wielu wersjach Windows i Windows Server, wliczając w to Windows 10, Windows 8.1 i Windows 7. Podatność jest exploitowana "w dziczy", co oznacza, że jest znana hakerom. Gigant już pracuje nad łatą. Ile trzeba będzie na nią czekać i jakie konkretnie oprogramowanie naraża nasz system?

    Microsoft wie o ograniczonej liczbie wymierzonych ataków, które mogą wykorzystać niezałatane podatności w Adobe Type Manager Library, i dostarcza poradę bezpieczeństwa, by pomóc klientom zmniejszyć ryzyko do czasu wydania aktualizacji. Dwie podatności [umożliwiające] zdalne wykonanie kodu istnieją w Microsoft Windows, gdy Windows Adobe Type Manager Library w niewłaściwy sposób obsłuży specjalnie spreparowaną czcionkę multi-master — format Adobe Type 1 PostScript.

    Jest wiele sposobów, w jakie atakujący może wykorzystać tę podatność, np. przekonać użytkownika, by otworzył specjalnie spreparowany dokument lub podejrzał go w panelu podglądu Windows.

    Microsoft jest świadomy tej podatności i pracuje nad poprawką. Aktualizacje dotyczące podatności bezpieczeństwa w oprogramowaniu Microsoft są zwykle wypuszczane w Update Tuesday, drugi wtorek każdego miesiąca. Ten przewidywalny harmonogram umożliwia partnerom zapewnienie jakości i planowanie IT, co pomaga utrzymać ekosystem Windows niezawodnym, bezpiecznym wyborem dla naszych klientów.
    — Security Advisory ADV200006, Microsoft

    Podatność o nazwie Type 1 Font Parsing Remote Code Execution Vulnerability występuje w sumie w 40 wersjach Windows, wliczając w to wszystkie wersje Dziesiątki od 1507, po 1909, Windows 7, Windows 8.1, Windows RT 8.1 oraz Windows Server 2008, 2012, 2016 i 2019 w różnych wersjach. W poradniku Microsoft opisał kilka sposobów obejścia, które można zastosować w oczekiwaniu na łatki. Jeśli rzeczywiście nadejdą one w Patch Tuesday, to trzeba będzie na nie poczekać jeszcze 3 tygodnie.

    Microsoft zaznaczył, że łatek nie dostaną systemy Windows 7, Windows Server 2008 i Windows Server 2008 R2 pozbawione ESU, czyli wykupionego, przedłużonego wsparcia.


    Spodobał Ci się ten artykuł? Podziel się z innymi!

    Źródło: https://mspoweruser.com/microsoft-reveals-zero-day-vulnerability-in-all-supported-versions-of-windows-currently-being-exploited-in-the-wild/

    Polecamy również w kategorii Windows 10