Microsoft potwierdził istnienie krytycznej luki, a właściwie to dwóch luk w zabezpieczeniach w wielu wersjach Windows i Windows Server, wliczając w to Windows 10, Windows 8.1 i Windows 7. Podatność jest exploitowana "w dziczy", co oznacza, że jest znana hakerom. Gigant już pracuje nad łatą. Ile trzeba będzie na nią czekać i jakie konkretnie oprogramowanie naraża nasz system?
Microsoft wie o ograniczonej liczbie wymierzonych ataków, które mogą wykorzystać niezałatane podatności w Adobe Type Manager Library, i dostarcza poradę bezpieczeństwa, by pomóc klientom zmniejszyć ryzyko do czasu wydania aktualizacji. Dwie podatności [umożliwiające] zdalne wykonanie kodu istnieją w Microsoft Windows, gdy Windows Adobe Type Manager Library w niewłaściwy sposób obsłuży specjalnie spreparowaną czcionkę multi-master — format Adobe Type 1 PostScript.
Jest wiele sposobów, w jakie atakujący może wykorzystać tę podatność, np. przekonać użytkownika, by otworzył specjalnie spreparowany dokument lub podejrzał go w panelu podglądu Windows.
Microsoft jest świadomy tej podatności i pracuje nad poprawką. Aktualizacje dotyczące podatności bezpieczeństwa w oprogramowaniu Microsoft są zwykle wypuszczane w Update Tuesday, drugi wtorek każdego miesiąca. Ten przewidywalny harmonogram umożliwia partnerom zapewnienie jakości i planowanie IT, co pomaga utrzymać ekosystem Windows niezawodnym, bezpiecznym wyborem dla naszych klientów.
— Security Advisory ADV200006, Microsoft
Podatność o nazwie Type 1 Font Parsing Remote Code Execution Vulnerability występuje w sumie w 40 wersjach Windows, wliczając w to wszystkie wersje Dziesiątki od 1507, po 1909, Windows 7, Windows 8.1, Windows RT 8.1 oraz Windows Server 2008, 2012, 2016 i 2019 w różnych wersjach. W poradniku Microsoft opisał kilka sposobów obejścia, które można zastosować w oczekiwaniu na łatki. Jeśli rzeczywiście nadejdą one w Patch Tuesday, to trzeba będzie na nie poczekać jeszcze 3 tygodnie.
Microsoft zaznaczył, że łatek nie dostaną systemy Windows 7, Windows Server 2008 i Windows Server 2008 R2 pozbawione ESU, czyli wykupionego, przedłużonego wsparcia.
341f31d.png)