Ce matin, Microsoft a publié en urgence un correctif de sécurité suite à la découverte d'une vulnérabilité zeroday dans ses systèmes d'exploitation. Cette dernière a été trouvée par des chercheurs parmi la masse de documents leakés par des pirates qui se sont attaqués en début de mois à la société italienne Hacking Team. Dans les 400 Go de documents mis en ligne, plusieurs vulnérabilités zeroday relatives cette fois au lecteur Flash d'Adobe avaient également été révélées.

Le patch publié par la firme de Redmond est MS15-078 et corrige une faille dans Windows Adobe Type Manager Library qui concerne OpenType, un format de police co-créé par Microsoft et Adobe. Les chercheurs Genwei Jiang de FireEye ainsi que Mateusz Jurczyk de Google Project Zero sont sont à l'origine de la découverte de cette vulnérabilité. Microsoft l'a considère comme étant critique, permettant à un pirate de compromettre un terminal Windows, d'installer des programmes, de voir, changer ou effacer des données ou encore créer des nouveaux comptes utilisateurs dotés de tous les droits d'utilisateur.

Windows Server 2008 et 2012 également touchés 

Les cybercriminels peuvent exploiter cette faille en trompant les utilisateurs, soit en leur faisant ouvrir des documents incluant des polices OpenType vérolées, soit en les entraînant vers des sites web malveillants embarquants OpenType. Pour le moment, Microsoft ne recense pas une progression du type d'attaques liées à cette vulnérabilité mais le risque d'exploit est grand et encourage les utilisateurs à appliquer dès que possible ce correctif. La mise à jour MS15-078 peut être téléchargée et installée via le service Windows Update aussi bien qu'au travers de Windows Server Update Services (WSUS) pour corriger Windows Vista, 7, RT et RT 8.1, 8 et 8.1 ainsi que Windows 10, Server 2008 et 2008 R2 mais aussi Server 2012 et 2012 R2.