A Microsoft lançou um patch de emergência para vulnerabilidades críticas que permitem que os invasores executem ataques RCE nas máquina vulneráveis.
A vulnerabilidade classificada como crítica reside na Biblioteca de Codecs do Microsoft Windows que lida essencialmente com objetos da memória.
Este patch de segurança corrige as vulnerabilidade catalogada como critica – CVE-2020-1425 – e uma outra classificada como high – CVE-2020-1457).
The out-of-band security updates fix the critical-severity flaw (CVE-2020-1425) and important-severity vulnerability (CVE-2020-1457).
CVE-2020-1425 & CVE-2020-1457
The vulnerability can be exploited by an attacker if the user opens the malicious images inside apps that utilize the built-in Windows Codecs Library to handle multimedia content.
Esta vulnerabilidade pode ser explorada por um atacante se a vítima abrir uma imagem disponível através de uma app que utilize o Windows Codecs Library.
Esta vulnerabilidade permite que um atacante execute código arbitrário na máquina alvo.
Os utilizadores afetados vão obter o update diretamente da Microsoft Store, i.e., não é necessária qualquer tipo de ação por parte dos utilizadores a fim de corrigirem o problema.
The affected customers will get automatically updated by Microsoft Store. so no user action is required. Microsoft said “this vulnerability affects only HEVC(High-Efficiency Video Coding) or “HEVC from Device Manufacturer” media codecs from Microsoft Store may be vulnerable.”
Além disso, os utilizadores podem descarregar manualmente as atualizações ou procurar atualizações com o Microsoft Store App; Mais detalhes podem ser encontrados aqui.
Depois de terminadas as atualizações, os utilizadores podem verificar se a instalação foi bem sucedida: Settings >> Apps & Features and select HEVC >> Advanced Options
As versões patched são as seguintes: 1.0.31822.0, 1.0.31823.0 e superiores.