Microsoft emite dos parches de emergencia de Windows


Las fallas, ninguna de las cuales se está explotando activamente, se solucionaron solo unos días después del lanzamiento mensual del martes de parches.

Microsoft se ha apresurado a solucionar dos vulnerabilidades de seguridad que afectan a la biblioteca de códecs de Microsoft Windows y al código de Visual Studio. Las fallas de seguridad se clasifican como vulnerabilidades de ejecución remota de código (RCE) y, si se explotan con éxito, podrían permitir que los actores de amenazas se hagan cargo de un sistema afectado por completo.

Ambas vulnerabilidades tienen una puntuación de 7.8 en el Sistema de puntuación de vulnerabilidad común (CVSS) escalan y Microsoft los considera «importantes». No parece haber evidencia que sugiera que ninguno de los dos haya estado bajo explotación activa.

Indexado como CVE-2020-17022, la laguna de seguridad en la biblioteca de códecs de Home windows no afecta a los usuarios que ejecutan Home windows 10 en su configuración predeterminada. En cambio, solo los usuarios que hayan instalado la codificación de video clip de alta eficiencia opcional (HEVC) o los códecs de medios “HEVC del fabricante del dispositivo” y estén ejecutando Windows 10 versión 1709 o excellent podrían ser vulnerables.

“La explotación de la vulnerabilidad requiere que un programa procese un archivo de imagen especialmente diseñado”, dijo Microsoft, explicando el vector de ataque que podría utilizar un ciberdelincuente. La falla, para la cual no existen mitigaciones o soluciones alternativas conocidas, tiene que ver con cómo la biblioteca de códecs de Windows maneja los objetos en la memoria.

Vale la pena señalar que, en lugar del canal recurring de Microsoft Update, el parche se entrega a través de Microsoft Retail outlet. Dado que ambas versiones de HVEC son aplicaciones o componentes opcionales que se ofrecen a los clientes a través de la Tienda, las actualizaciones se ofrecen a través del mismo canal.

“Microsoft Retail store actualizará automáticamente a los clientes afectados. Los clientes no necesitan realizar ninguna acción para recibir la actualización ”, dijo Microsoft. La empresa también ofreció esta guía para usuarios que quieran acelerar el proceso o comprobar si las actualizaciones se han implementado en sus sistemas.

Mientras tanto, la falla en Visual Studio Code registrada como CVE-2020-17023 podría aprovecharse si un usuario fuera engañado para que abriera un archivo JSON malicioso. Como es el caso de la vulnerabilidad anterior, no existen soluciones alternativas ni factores atenuantes. Por lo tanto, se recomienda a los usuarios que apliquen el parche.

Agencia de Infraestructura y Ciberseguridad de Estados Unidos (CISA) instó a la gente para asegurarse de que sus sistemas estén actualizados.

Los parches de seguridad se lanzaron a los pocos días del martes de parches de Microsoft, que abordó 87 vulnerabilidades, 12 de las cuales se clasificaron como críticas en la escala CVSS. Las versiones de parches fuera de banda generalmente se reservan para vulnerabilidades inesperadas, de gran alcance o graves.





Enlace a la noticia authentic