Arriva direttamente da Microsoft l’avviso relativo a due vulnerabilità etichettate come “critiche” e che interessano tutte le più recenti versioni di Windows (inclusa W10). Le falle riguardano la componente Adobe Type Manager Library (atmfd.dll). Al momento non ci sono patch disponibili per la correzione.
Vulnerabilità per Windows: niente patch, ma workaround
La componente interessata è quella delegata alla gestione e al render dei font. Alcuni malintenzionati le stanno già sfruttando con attacchi capaci di mettere in ginocchio la sicurezza degli utenti, perpetrati spingendo le vittime ad aprire o visualizzare l’anteprima di documenti confezionati ad hoc (contenenti un carattere di tipo PostScript) per consentire poi l’esecuzione di codice maligno da remoto: malware, ransomware e così via.
Considerando come il ciclo vitale di Windows 7 sia ormai ufficialmente giunto al termine, solo le realtà enterprise iscritte al programma Extended Security Update dovrebbero ricevere gli aggiornamenti correttivi destinati al sistema operativo una volta pronti. Vedremo se per le altre incarnazioni della piattaforma il fix arriverà con il Patch Tuesday del mese prossimo (il 14 aprile, ipotesi che sembra confermata da Microsoft) oppure, considerata la gravità del problema, in anticipo, come avvenuto nelle scorse settimane per SMBGhost.
Sulle pagine del Security Response Center il gruppo, che battezza le falle come “Type 1 Font Parsing Remote Code Execution Vulnerability”, sono descritti alcuni workaround a cui ricorrere in attesa dell’update, così da scongiurare qualsiasi possibile rischio.
Non è il migliore dei periodi per l’ecosistema Windows: ai diversi intoppi legati alla sicurezza emersi negli ultimi mesi si aggiunge un elenco purtroppo costantemente aggiornato di bug che provocano i grattacapi più disparati agli utenti, da quelli legati alla scansione antivirus fino a rallentamenti e crash.