Microsoft ha rilasciato degli aggiornamenti out-of-band per risolvere due vulnerabilita’, di livello importante e critico, relative alla libreria dei codec integrata in Windows.
Microsoft afferma che al momento non c’e’ notizia che sia in corso lo sfruttamento di questi bug.
Per approfittare di questi difetti un aggressore deve indurre un utente a far clic su un file immagine artefatto, in modo che venga aperto con una delle app che utilizza la libreria dei codec di Windows.
Un comune vettore di attacco in ingegnere sociale.
:: Software interessato
Windows 10 versioni 1709, 1803, 1809, 1903, 1909, 2004
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Microsoft sta distribuendo l’aggiornamento in modo automatico tramite il Microsoft Store.
In alternativa, gli utenti possono installare immediatamente le patch verificando la presenza di aggiornamenti con l’app Microsoft Store:
Get updates for apps and games in Microsoft Store
https://support.microsoft.com/en-us/help/4026259/microsoft-store-get-updates-for-apps-and-games
:: Riferimenti
CVE-2020-1425 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1425
CVE-2020-1457 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1457
The hacker news – Microsoft Releases Urgent Windows Update to Patch Two Critical Flaws
https://thehackernews.com/2020/07/windows-security-update.html
Threatpost
https://threatpost.com/microsoft-releases-emergency-security-updates-for-windows-10-server/157055/