Компания Microsoft выпустила срочное обновление, которое исправляет критическую уязвимость, найденную во всех поддерживаемых версиях операционной системы Windows, включая Vista, 7, 8, 8.1, RT, Windows Server (2008, R2, 2012), а также превью Windows 10 (Insider Preview). Патч можно загрузить из "Центра обновлений Windows" (Windows Update).
Как говорится в бюллетене по безопасности Microsoft (MS15-078), "дыра" позволяет злоумышленникам дистанционно исполнить вредоносный код и получить полный контроль над машиной. Это произойдет, "если пользователь откроет специально созданный документ или посетит не имеющую доверенного сертификата веб-страницу, которая содержит встроенные шрифты OpenType".
"Атакующий может устанавливать программы; просматривать, изменить и удалять данные; или создавать новые учетные записи с полными привилегиями пользователя", — предупреждает компания. Как уточняется, "заплатка" исправляет способ обработки шрифтов библиотекой Adobe Type Manager (ATP) в Windows. За нахождение узявимости (CVE-2015-2426) Microsoft поблагодарила разработчиков из Google Project Zero и FireEye.
Как пишет The Register, новая брешь в Windows была обнаружена после изучения файлов, попавших в Сеть в результате недавнего взлома итальянской компании Hacking Team. Разработчик шпионского инструмента Da Vinci, позволяющего правительствам следить за активностью интернет-пользователей, подвергся атаке в начале июля. Хакеры, помимо прочего, обнародовали переписку по электронной почте, а также финансовую отчетность этой организации.
Источники: ZDNet, The Register
