В Windows обнаружена критическая уязвимость. Зафиксированы случаи реальных атак

23 марта компания Microsoft опубликовала бюллетень безопасности, содержащий информацию о новой, еще не пропатченной уязвимости в Windows. Уязвимости был присвоен статус «критическая», и она наблюдается во всех поддерживаемых версиях Windows, включая Windows 10, Windows 8.1 и Windows 7. Microsoft сообщает, что ведется работа над исправлением, но патч пока недоступен.

В рекомендации по безопасности Microsoft сообщает:

Две уязвимости удаленного выполнения кода проявляются в системах Microsoft Windows, когда библиотека Windows Adobe Type Manager некорректно обрабатывают шрифт Multiple-master (специальный формат Adobe Type 1 PostScript).

Злоумышленникам доступно несколько способов для эксплуатации уязвимости, например, они могут убедить жертву открыть специально созданный документ или посмотреть его содержимое в панели предпросмотра Windows.

Microsoft сообщает, что известны случае «узконаправленных атак», эксплуатирующих данную уязвимость. Точные сроки выхода патча компания не называет, напоминая, что «исправления уязвимостей безопасности обычно выходят во Вторник Патчей». Следующий Вторник патчей (Patch Tuesday) состоится 14 апреля.

В разделе часто задаваемых вопрос бюллетеня по безопасности Microsoft поясняет, что панель предварительного просмотра Проводника Windows может стать вектором атаки для данной уязвимости, а панель предварительного просмотра Outlook таковой не является. Также компания сообщила, что исправления для Windows 7 будут доступны только для пользователей, которые получают платные расширенные обновления безопасности (ESU). Напомним, что поддержка Windows 7 была завершена 14 января 2020 года.