Krytyczny 0-day w obsłudze fontów w Windows. Łatka? Będzie dopiero w kwietniu…

25 marca 2020, 19:09 | W biegu | komentarze 2
Tagi: ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Microsoft ostrzega o dość niesympatycznym błędzie. Wystarczy pod Windowsem otworzyć odpowiednio spreparowany dokument (zapewne ze „złośliwym” fontem w środku) aby napastnik wykonał kod w OS (z uprawnieniami SYSTEM).

Co więcej błąd jest wykorzystywany obecnie w atakach celowanych:

Microsoft has become aware of limited targeted Windows 7 based attacks that could leverage un-patched vulnerabilities in the Adobe Type Manager Library.

Podatne są Windowsy: 7, 8 oraz serwerowe – 2008, 2012. Tutaj podatność otrzymała „rangę” Critical. Problem istnieje również w Windows 10 oraz nowszych systemach serwerowych (do 2019) – jednak w tych przypadkach wg Microsoftu przed atakiem powinny zapobiec wbudowane w nowsze systemy mechanizmy antyexploitowe. 

Łaty mają pojawić się dopiero w kwietniu, a na razie Microsoft publikuje workarounds (choć nie zaleca ich wprowadzać w Windows 10).

ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. filantrop

    Czyżby j00ru i jego font research?

    Odpowiedz
    • to wygląda raczej że ściągnęli z jakiegoś targetowanego ataku

      Odpowiedz

Odpowiedz