Sul suo portale dedicato alla sicurezza, Microsoft Security Response Center, Microsoft ha avvisato di essere a conoscenza della possibilità di attacchi che potrebbero sfruttare una vulnerabilità critica di Windows per la quale al momento non c’è ancora alcuna patch.
In realtà le vulnerabilità sono due, sono di tipo remote code execution e sono contrassegnate come Critical, quindi un livello grave di pericolosità.
Questo genere di falla potrebbe consentire a un cyber attacker di eseguire codice remoto malevolo sul sistema oggetto di attacco. Microsoft si è detta a conoscenza di attacchi mirati e limitati che tentano di sfruttare queste vulnerabilità.
Le vulnerabilità rese note dalla società di Redmond riguardano Microsoft Windows quando la libreria Adobe Type Manager di Windows gestisce in modo errato font multi-master appositamente predisposti, in formato Adobe Type 1 PostScript.
Microsoft ha avvisato del fatto che esistono diversi modi in cui un utente malintenzionato potrebbe sfruttare queste vulnerabilità: ad esempio, potrebbe convincere un utente ad aprire un documento appositamente creato per sfruttare la falla o anche semplicemente visualizzarlo nel riquadro di anteprima di Windows (il Preview Pane è infatti anch’esso vulnerabile all’attacco).
Il ventaglio di potenziali sistemi target è molto ampio, perché le vulnerabilità coprono diverse versioni di Windows, fino a Windows 10.
Un fix non è ancora disponibile, al momento in cui scriviamo, ma Microsoft ha reso noto di essere al lavoro per correggere la falla e che l’aggiornamento dovrebbe arrivare conl’Update Tuesday che, il secondo martedì del mese, solitamente introduce le correzioni di sicurezza.
Tra l’altro, Windows 7 ha già raggiunto la fine del ciclo di vita e del supporto, per cui Microsoft ha sottolineato che, per ricevere il security update, è necessario essere in possesso di una licenza Extended Security Update (ESU).
Vedremo se questa policy verrà confermata, o se invece tutti i sistemi Windows 7 riceveranno l’aggiornamento di sicurezza, quando questo update verrà rilasciato.
Nel frattempo, nel suo portale Security Response Center, Microsoft ha predisposto una pagina web che spiega in dettaglio questa vulnerabilità, elenca le versioni dei sistemi operativi e i componenti vulnerabili, indica delle procedure per mitigare il rischio.
