23 марта компания Microsoft опубликовала бюллетень безопасности, содержащий информацию о новой, еще не пропатченной уязвимости в Windows. Уязвимости был присвоен статус «критическая», и она наблюдается во всех поддерживаемых версиях Windows, включая Windows 10, Windows 8.1 и Windows 7. Microsoft сообщает, что ведется работа над исправлением, но патч пока недоступен.
В рекомендации по безопасности Microsoft сообщает:
Две уязвимости удаленного выполнения кода проявляются в системах Microsoft Windows, когда библиотека Windows Adobe Type Manager некорректно обрабатывают шрифт Multiple-master (специальный формат Adobe Type 1 PostScript).
Злоумышленникам доступно несколько способов для эксплуатации уязвимости, например, они могут убедить жертву открыть специально созданный документ или посмотреть его содержимое в панели предпросмотра Windows.
Microsoft сообщает, что известны случае «узконаправленных атак», эксплуатирующих данную уязвимость. Точные сроки выхода патча компания не называет, напоминая, что «исправления уязвимостей безопасности обычно выходят во Вторник Патчей». Следующий Вторник патчей (Patch Tuesday) состоится 14 апреля.
В разделе часто задаваемых вопрос бюллетеня по безопасности Microsoft поясняет, что панель предварительного просмотра Проводника Windows может стать вектором атаки для данной уязвимости, а панель предварительного просмотра Outlook таковой не является. Также компания сообщила, что исправления для Windows 7 будут доступны только для пользователей, которые получают платные расширенные обновления безопасности (ESU). Напомним, что поддержка Windows 7 была завершена 14 января 2020 года.
Угрозы безопасности
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max
• Apple предупреждает пользователей о целевых атаках шпионского ПО
• Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок
• Google опровергает сообщения о крупной угрозе безопасности Gmail для 2,5 млрд пользователей
• WhatsApp закрыл критическую уязвимость в приложениях для iOS и macOS