Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critiche 0-day in libreria Adobe Type Manager su Windows

microsoft  remote code execution   martedì, 24 marzo 2020

La libreria Adobe Type Manager (atmfd.dll) è un modulo del kernel di Microsoft Windows che fornisce supporto per i caratteri OpenType.

Sono state scoperte due vulnerabilità critiche zero-day nella gestione dei caratteri Adobe Type 1 da parte di questo componente, che possono causare l’esecuzione di codice arbitrario da remoto su un sistema Windows affetto.

Le vulnerabilità possono essere sfruttate facendo in modo che un sistema Windows apra un documento appositamente predisposto o lo visualizzi nel riquadro di anteprima di Windows. Se sfruttate con successo, queste vulnerabilità possono consentire ad un attaccante remoto non autenticato di eseguire codice arbitrario con i privilegi del kernel. Sui sistemi operativi Windows 10 il codice viene eseguito con privilegi limitati, in una sandbox di AppContainer.

Risultano affette da queste vulnerabilità tutte le versioni supportate di Windows, oltre a Windows 7. Microsoft è al corrente che queste vulnerabilità vengono al momento sfruttate in-the-wild in attacchi mirati.

Al momento non sono stati rilasciati aggiornamenti specifici che risolvono queste criticità, anche se Microsoft è già al lavoro su fix che dovrebbero essere resi disponibili col prossimo Patch Tuesday di aprile. Sono disponibili soluzioni di mitigazione temporanee da adottare in attesa del rilascio delle patch di sicurezza ufficiali.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sulle soluzioni di mitigazione, è possibile consultare i seguenti avvisi di sicurezza (in Inglese):

Notizie correlate

Aggiornamento di sicurezza Android (aprile 2020)

7 aprile 2020

Google ha rilasciato l'aggiornamento di sicurezza di aprile che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza critico per Mozilla Firefox 74

6 aprile 2020

Mozilla ha rilasciato un avviso di sicurezza riguardante due vulnerabilità critiche zero-day nella versione 74 del browser Web Firefox.Leggi tutto

Vulnerabilità critica su piattaforma Liferay

3 aprile 2020

È stata recentemente scoperta una vulnerabilità critica all’interno del framework Liferay che può consentire l'esecuzione di codice arbitrario da remoto.Leggi tutto