L’éditeur rapporte dans un bulletin de sécurité l’existence de deux vulnérabilités nichées dans Windows. D’ores et déjà exploitées, elles ne seront pas corrigées avant mi-avril, Microsoft proposant entre temps des méthodes de mitigation.
Deux failles 0day ont été découvertes dans toutes les versions supportées de Windows. Ces failles se trouvent dans la bibliothèque Adobe Type Manager. En l'occurrence, celle-ci “ne gère pas correctement” la police PostScript Adobe Type 1. Ainsi, un attaquant est en mesure d'exécuter à distance du code sur le terminal de sa victime, lorsque celle-ci ouvre un document spécialement conçu pour exploiter ces vulnérabilités ou le visualise dans le volet Aperçu de Windows.
Ces vulnérabilités critiques sont, selon le bulletin de sécurité émis par Microsoft, activement exploitées. Des attaques “ciblées et limitées”, écrit Redmond, qui ne fournit pas plus de détails sur l’exploitation actuelle de ces vulnérabilités. Pour autant, l’éditeur ne les patchera pas en urgence. Il faudra attendre le prochain Patch Tuesday, dont la sortie est prévue le 14 avril prochain.
Windows 7 affecté, mais plus supporté
Entre temps, Microsoft publie une série de recommandations quant aux méthodes permettant de réduire les risques de voir ces vulnérabilités être exploitées, par exemple en désactivant le volet d’aperçu (Preview Pane) Windows, principal vecteur d’attaque (ce qui n’est pas le cas du volet d’aperçu Outlook, selon Microsoft). Ajoutons que seuls les titulaires d’une licence Extended Support pour Windows 7 et Server 2008 recevront le patch, Redmond ayant mis fin au support de ces systèmes d’exploitation en janvier.