Microsoft a publié lundi une alerte de sécurité, ADV200006, reprise dans le bulletin d’alerte de l’ANSSI CERTFR-2020-ALE-009, sur une vulnérabilité jour zéro affectant de nombreuses versions de Windows, pour laquelle aucun correctif n’est disponible, et qui serait exploitée par un nombre limité d’attaques ciblées.
Elle concerne la bibliothèque Adobe Type Manager Library, qui ne traite pas correctement une police de caractères Adobe Type 1 Postcript spécialement conçue pour exploiter les bogues, et qui résulte en deux vulnérabilités d’exécution de code arbitraire à distance.
Pour activer la vulnérabilité, la personne malveillante doit convaincre l’utilisateur d’ouvrir un document spécialement conçu, ou d’en regarder l’aperçu dans le volet de visualisation de Windows.
Microsoft, qui travaille sur un correctif, propose quelques solutions de rechange, comme désactiver les volets de visualisation et des détails dans l’explorateur de Windows, désactiver le service WebClient, renommer dans certaines anciennes versions de Windows la librairie ATMFD. dll.
Pour Windows 8.1, il est possible de désactiver ATMFD.
Les versions vulnérables de Windows sont : La plupart des versions de Windows 10, 32 ou 64 bits, x64 ou ARM, Windows 8.1, Windows 7, Windows RT 8.1, Windows Server 2008, 2012, 2012 R2, 2016 et 2019.
Le temps de développer et de tester le correctif, on peut espérer sa mise à disposition le mardi 14 avril 2020.
Comme Windows 7, Windows Server 2008 et 2008 R2 ont atteint leur fin de vie, seules les entreprises avec une licence ESU (Extended Support) recevront le correctif.