Failles 0-day exploitées dans Windows 10 et Windows Server
Microsoft a communiqué sur l'existence de deux failles critiques "Zero Day" dans ses systèmes d'exploitation. Cela touche Windows 10, mais également Windows 7 et Windows 8.1, ainsi que Windows Server de 2008 à 2019. Rien que ça.
Les deux vulnérabilités se situent au sein de la librairie "Adobe Type Manager" : si un document est ouvert sur un poste ou un serveur, du code arbitraire peut être exécuté à distance. Cela nécessite que le document utilise une police d'écriture spécifique. Plus grave encore : si l'on prévisualise le document via l'Explorateur de fichiers Windows, l'attaque est exécutée également. Cependant, le volet de prévisualisation Outlook n'est pas concerné (tant mieux).
Concernant le correctif, il va falloir être patient : il sera disponible lors de la sortie du prochain Patch Tuesday, en avril prochain. Plus précisément le 14 avril 2020. Pour Windows 7, à moins de souscrire au support étendu, il n'y aura pas de correctif. En alternative, Microsoft propose de désactiver le volet de prévisualisation de l'explorateur et d'arrêter le service WebClient (sans préciser l'impact).
Microsoft précise que des hackers exploitent déjà ces vulnérabilités au travers d'attaques ciblées. De son côté, Adobe nie toute responsabilité et estime que Microsoft est l'unique gestionnaire de cette librairie.
