Microsoft lanza actualización de emergencia para corregir dos fallas graves de Windows


La actualización fuera de banda conecta dos errores de ejecución remota de código en la biblioteca de códecs de Windows, incluido uno calificado como crítico

Microsoft lanzó el martes parches de seguridad de emergencia para conectar un par de vulnerabilidades graves en su biblioteca de códecs de Home windows que afectan a varias versiones de Home windows 10 y Home windows Server. Indexado como CVE-2020-1425 y CVE-2020-1457, las dos fallas de ejecución de código remoto (RCE) se califican como «Crítico» e «importante» en severidad, respectivamente.

Ambas lagunas de seguridad tienen que ver con la forma en que la Biblioteca de códecs de Microsoft Home windows maneja los objetos en la memoria.

Un atacante que pueda explotar CVE-2020-1425 «podría obtener información para comprometer aún más el sistema del usuario», dijo Microsoft. Mientras tanto, la explotación exitosa de la segunda falla podría permitir a los atacantes ejecutar código arbitrario en la máquina objetivo. Cada defecto recibió la calificación de «explotación menos possible» en Índice de explotabilidad de Microsoft.

LECTURA RELACIONADA Vulnerabilidades, exploits y parches.

No hay información sobre vectores de ataque específicos para abusar de estos defectos, pero Microsoft dijo que la explotación de cualquiera de las vulnerabilidades «requiere que un programa procese un archivo de imagen especialmente diseñado». Esto podría, por ejemplo, implicar atraer al objetivo para que descargue y abra el archivo.

Las actualizaciones se implementan automáticamente a través de Microsoft Keep, en lugar del proceso de actualización de Windows. «Los clientes afectados serán actualizados automáticamente por Microsoft Retail store. Los clientes no necesitan tomar ninguna medida para recibir la actualización «, dijo Microsoft.

Para verificar si las actualizaciones se han implementado o para acelerar el proceso, Microsoft proporciona esta guía. La compañía no tiene conocimiento de ninguna mitigación o solución para las dos vulnerabilidades.








Enlace a la noticia primary