El 23 de marzo, Microsoft lanzó un aviso (ADV200006), informando sobre dos vulnerabilidades en la biblioteca Adobe Type Manager (ATM).
ATM es una biblioteca integrada de fuentes PostScript, que se encuentra en todas las versiones de Windows. Aunque el nombre de la biblioteca ATM proviene de una herramienta desarrollada por Adobe, Microsoft incluyó soporte nativo para las fuentes ATM con el lanzamiento de Windows Vista en 2007. Por lo tanto, estas vulnerabilidades existen dentro de la integración nativa de Windows para el soporte de fuentes PostScript.
La explotación de estas vulnerabilidades que aún no registran CVE, podría provocar la ejecución de código en los sistemas afectados después de que un usuario en esa máquina abriera un documento especialmente diseñado o lo viera en el panel de Vista previa de Windows.
Para reducir la probabilidad de explotación, se sugiere implementar las soluciones alternativas que Microsoft ha difundido a través de su comunicado hasta que haya un parche disponible.
Actualización abril 2020
Esta vulnerabilidad ha sido parchada con el Tuesday Patch de abril 2020 y ha sido identificada como CVE-2020-1020. Más detalles en el comunicado oficial de Microsoft:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1020
El Centro de Ciberinteligencia recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Microsoft Windows |
10 8.1 7 |
Microsoft Windows Server |
2019 2016 2012 2012 R2 2008 2008 R2 |