Des mises à jour de sécurité récentes corrigent des bogues des codecs Windows 10
CVE-2020-1425 étant critique et CVE-2020-1457 étant grave – les deux vulnérabilités
Microsoft publie deux mises à jour de sécurité qui corrigent deux vulnérabilités CVE-2020-1425 et CVE-2020-1457 sur Windows 10, affectant la bibliothèque de codecs sur les systèmes d’exploitation et les versions de serveur.
Dans les deux cas, un problème avec l’exécution de code à distance a été trouvé, dû à la façon dont la bibliothèque de codecs Microsoft Windows gère les objets en mémoire.
Abdul-Aziz Hariri, responsable de l’analyse des vulnérabilités à l’initiative Zero Day de Trend Micro, a été le premier à signaler ces deux vulnérabilités – CVE-2020-1425 et CVE-2020-1457 – à Microsoft.
En exploitant CVE-2020-1425, les attaquants pourraient obtenir des informations afin de compromettre le périphérique des utilisateurs. Alors que, après avoir réussi à exploiter la vulnérabilité CVE-2020-1457, les escrocs peuvent conduire à l’exécution de code arbitraire sur le périphérique cible. L’exploitation de ces vulnérabilités nécessite un programme pour traiter un fichier image spécialement conçu.
Ces vulnérabilités étaient des destinataires des deux mises à jour de sécurité de bande “en corrigeant la façon dont la bibliothèque de codecs Microsoft Windows traite les objets en mémoire”, a déclaré Microsoft.
Les systèmes concernés par ces vulnérabilités incluent les plates-formes de bureau Windows 10 versions 1709 ou ultérieures et le serveur Windows Server 2019 et plusieurs versions de Windows Server.
Microsoft indique qu’il n’a identifié aucune atténuation ni solution de contournement de ces vulnérabilités. Cela explique:
“Les clients concernés seront automatiquement mis à jour par le Microsoft Store. Les clients n’ont pas besoin de prendre de mesures pour recevoir la mise à jour. Alternativement, les clients qui souhaitent recevoir la mise à jour immédiatement peuvent vérifier les mises à jour avec l’application Microsoft Store.”