Microsoft lançou patch de emergência para o Windows 10 para corrigir vulnerabilidades RCE.

A Microsoft lançou um patch de emergência para vulnerabilidades críticas que permitem que os invasores executem ataques RCE nas máquina vulneráveis.

A vulnerabilidade classificada como crítica reside na Biblioteca de Codecs do Microsoft Windows que lida essencialmente com objetos da memória.

Este patch de segurança corrige as vulnerabilidade catalogada como critica – CVE-2020-1425 – e uma outra classificada como high – CVE-2020-1457).

The out-of-band security updates fix the critical-severity flaw (CVE-2020-1425) and important-severity vulnerability (CVE-2020-1457).

 

CVE-2020-1425 & CVE-2020-1457

The vulnerability can be exploited by an attacker if the user opens the malicious images inside apps that utilize the built-in Windows Codecs Library to handle multimedia content.

 

Esta vulnerabilidade pode ser explorada por um atacante se a vítima abrir uma imagem disponível através de uma app que utilize o Windows Codecs Library.

Esta vulnerabilidade permite que um atacante execute código arbitrário na máquina alvo.

Os utilizadores afetados vão obter o update diretamente da Microsoft Store, i.e., não é necessária qualquer tipo de ação por parte dos utilizadores a fim de corrigirem o problema.

The affected customers will get automatically updated by Microsoft Store. so no user action is required. Microsoft said “this vulnerability affects only HEVC(High-Efficiency Video Coding) or “HEVC from Device Manufacturer” media codecs from Microsoft Store may be vulnerable.”

 

Além disso, os utilizadores podem descarregar manualmente as atualizações ou procurar atualizações com o Microsoft Store App; Mais detalhes podem ser encontrados aqui.

Depois de terminadas as atualizações, os utilizadores podem verificar se a instalação foi bem sucedida: Settings >> Apps & Features and select HEVC >> Advanced Options

As versões patched são as seguintes: 1.0.31822.0, 1.0.31823.0 e superiores.