Una vulnerabilidad en múltiples versiones de Windows permite la ejecución de código en remoto
Cristian Rus
Microsoftha publicadouna advertencia sobre la existencia de una nueva vulnerabilidad aún no parcheada que afecta a varias versiones de Windows. Mediante ella un tercero puedeejecutar código en remoto en un equipo con Windows. Afecta a versiones actuales como Windows 10 y también a otras queya no reciben soportecomo Windows 7.
Según explican,la vulnerabilidad se encuentra en la biblioteca de Adobe Type Manager(el archivo ‘atmfd.dll’). Esta biblioteca permite a Windows ejecutar y mostrar tipografías PostScript. Pero al parecer, también permite a atacantes ejecutar código en remoto en el sistema mediante ella.
Explican que se trata de un ataque limitado y que requiere de que el usuario abra algún archivo especialmente diseñado para la ejecución del código en remoto. De momentoson vulnerables todas las versiones de Windows desde Windows 7 hasta la actual, también afecta a los sistemas operativos de Windows Server.
Sin parche y con posibles medidas de mitigación
ActualmenteMicrosoft aún no ha emitido ningún tipo de parchepara solucionar este problema en la biblioteca de Adobe Type Manager. La próxima actualización de seguridad está programada para el 14 de abril, por lo que podría ser entonces cuando veamos una actualización de la biblioteca que solucione el problema.
A falta de este parche, Microsft ofrece una serie demedidas que se pueden tomar para mitigarposibles ataques:
Estas medidas esencialmenteevitan que la librería de Adobe Type Manager se ejecute y por lo tanto pueda ejecutar código remoto. Microsoft lanza cada segundo martes del mes una actualización de seguridad, por lo que este próximo 14 de abril es posible que veamos un parche para ello. Eso sí, los usuarios de Windows 7 (que también están afectados) sólo recibirán la actualización si tienen una licencia extendida, pues es un sistema operativo que ya no recibe soporte yno va a haber otra excepción.
Vía |ZDNetMás información |Microsoft
Disney+ rebajado de 69,99 euros a 59,99 euros durante un año: oferta limitada hasta el 23 de marzo
