Microsoft a officiellement reconnu un défaut d’exécution de code à distance affectant toutes les versions de Windows, confirmant qu’elle est consciente des attaques limitées contre ses utilisateurs. Cependant, le géant du logiciel a laissé entendre qu’elle ne publierait pas de correctif à la hâte pour résoudre la vulnérabilité, malgré les attaques qui se produisent, et qu’elle attendrait plutôt le Patch Tuesday prévu en avril pour le corriger.
La faille de sécurité réside dans la bibliothèque Adobe Type Manager, que Windows utilise pour les polices de caractères. Windows 10, Windows 8.1 et même Windows 7, qui n’est pas pris en charge, sont tous vulnérables aux attaques.
« Deux vulnérabilités d’exécution de code à distance existent dans Windows lorsque la bibliothèque Adobe Type Manager de Windows gère incorrectement une police multimaître spécialement conçue — le format PostScript Adobe Type 1. Il y a plusieurs façons pour un hacker d’exploiter la vulnérabilité, comme convaincre un utilisateur d’ouvrir un document spécialement conçu ou le visualiser dans le panneau d’aperçu de Windows », explique Microsoft.
Alors, à quand un patch ? Il ne sera pas disponible de suite, semble-t-il, car Microsoft veut simplement s’en tenir à son cycle de correctifs Patch Tuesday pour résoudre la vulnérabilité.
« Microsoft est consciente de cette vulnérabilité et travaille sur un correctif. Les mises à jour qui traitent des vulnérabilités de sécurité dans les logiciels Microsoft sont généralement publiées durant le cycle Patch Tuesday, le deuxième mardi de chaque mois. Ce calendrier prévisible permet d’assurer la qualité des partenaires et de planifier les mises à jour, ce qui contribue à maintenir l’écosystème Windows comme un choix fiable et sûr pour nos clients », déclare la société.
Quelques solutions
En attendant, il existe plusieurs solutions de contournement auxquelles les utilisateurs peuvent recourir afin d’éviter que leurs appareils ne soient attaqués, et vous pouvez les trouver toutes détaillées par Microsoft sur cette page.
Le cycle de correctifs Patch Tuesday aura lieu le 14 avril, lorsque Microsoft publiera des mises à jour de sécurité pour toutes les versions de Windows encore prises en charge — étant donné que Windows 7 n’est plus pris en charge, il ne recevra pas de correctif pour cette vulnérabilité.