I recenti aggiornamenti di sicurezza risolvono i bug dei codec di Windows 10
CVE-2020-1425 è critico e CVE-2020-1457 è gravità: le due vulnerabilità
Microsoft rilascia due aggiornamenti di sicurezza che risolvono due vulnerabilità CVE-2020-1425 e CVE-2020-1457 su Windows 10, che influiscono sulla libreria dei codec sui sistemi operativi e sulle versioni dei server.
In entrambi i casi, è stato rilevato un problema con l’esecuzione del codice remoto, causato dal modo in cui la libreria di codec di Microsoft Windows gestisce gli oggetti nella memoria.
Abdul-Aziz Hariri, un responsabile dell’analisi delle vulnerabilità dell’iniziativa Zero Day di Trend Micro è stato il primo a segnalare a Microsoft queste due vulnerabilità – CVE-2020-1425 e CVE-2020-1457.
Sfruttando CVE-2020-1425, gli aggressori potrebbero ottenere informazioni per compromettere il dispositivo degli utenti. Mentre, dopo aver sfruttato con successo la vulnerabilità CVE-2020-1457, i truffatori possono portare all’esecuzione di codice arbitrario sul dispositivo di destinazione. Lo sfruttamento di queste vulnerabilità richiede un programma per elaborare un file di immagine appositamente predisposto.
Queste vulnerabilità sono state indirizzate dagli aggiornamenti di sicurezza a due bande “correggendo il modo in cui la libreria di codec di Microsoft Windows gestisce gli oggetti in memoria”, ha affermato Microsoft.
I sistemi interessati da queste vulnerabilità includono le piattaforme desktop Windows 10 1709 o successive e Windows Server 2019 e diverse versioni di Windows Server.
Microsoft afferma che non ha identificato alcuna mitigazione e soluzioni alternative di queste vulnerabilità. Spiega:
“I clienti interessati verranno automaticamente aggiornati da Microsoft Store. I clienti non devono intraprendere alcuna azione per ricevere l’aggiornamento. In alternativa, i clienti che desiderano ricevere immediatamente l’aggiornamento possono verificare la presenza di aggiornamenti con l’app Microsoft Store.”
