Breșele de securitate, care nu sunt exploatate în mod activ, au fost remediate la doar câteva zile după lansarea lunară Patch Tuesday.
Microsoft a lansat patch-uri pentru două vulnerabilități de securitate care afectează Microsoft Windows Codecs Library și Visual Studio Code. Defectele de securitate sunt clasificate drept vulnerabilități la executarea codului la distanță (RCE) și, dacă sunt exploatate cu succes, ar putea permite infractorilor cibernetici să preia în întregime un sistem afectat.
Ambele vulnerabilități au înregistrat un scor de 7,8 pe scala Common Vulnerability Scoring System (CVSS) și sunt considerate „importante” de către Microsoft. Se pare că nu există dovezi care să sugereze că oricare dintre acestea a fost sub exploatare activă.
Indexată ca CVE-2020-17022, lacuna de securitate din Microsoft Windows Codecs Library nu afectează utilizatorii care rulează Windows 10 în configurația sa implicită. În schimb, utilizatorii care au instalat Video Coding de înaltă eficiență (HEVC) sau „HEVC de la Producătorul Dispozitivului” și care rulează Windows 10 versiunea 1709 sau una ulterioară ar putea fi vulnerabili.
„Exploatarea vulnerabilității necesită ca un program să proceseze un fișier de imagine special creat”, a declarat Microsoft, explicând vectorul de atac pe care un infractor cibernetic l-ar putea folosi. Defectul - pentru care nu se cunosc remedii sau soluții alternative - are legătură cu modul în care Microsoft Windows Codecs Library gestionează obiectele din memorie.
Este demn de remarcat faptul că, în loc de canalul obișnuit Microsoft Update, patch-ul este livrat prin Microsoft Store. Deoarece ambele versiuni HVEC sunt aplicații opționale sau componente care sunt oferite clienților prin intermediul magazinului, actualizările sunt oferite prin același canal.
„Clienții afectați vor fi actualizați automat de Microsoft Store. Clienții nu trebuie să ia nicio măsură pentru a primi actualizarea”, a spus Microsoft. Compania a oferit, de asemenea, acest ghid utilizatorilor care doresc să accelereze procesul sau să verifice dacă actualizările au fost implementate pe sistemele lor.
Între timp, defectul din Visual Studio Code indexat ca CVE-2020-17023 ar putea fi exploatat dacă un utilizator ar fi atras în deschiderea unui fișier JSON rău intenționat. Ca în cazul vulnerabilității anterioare, nu există soluții alternative sau alte remedii. Prin urmare, utilizatorii sunt sfătuiți să instaleze patch-ul.
Agenția Statelor Unite pentru Securitate Cibernetică și Infrastructură (CISA) a îndemnat utilizatorii să se asigure că sistemele lor sunt actualizate.
Patch-urile de securitate au fost lansate la câteva zile de la Microsoft Patch Tuesday, care a adresat 87 de vulnerabilități, dintre care 12 au fost clasificate drept critice pe scara CVSS. Versiunile de patch-uri în afara acestei lansări obișnuite de actualizări sunt de obicei rezervate vulnerabilităților neașteptate, de amploare sau severe.
Facebook Twitter LinkedIN