Microsoft a émis deux bulletins de sécurité concernant Windows Codecs Library pour corriger des vulnérabilités référencées en tant que CVE-2020-1425 et CVE-2020-1457. « Il existe une vulnérabilité d'exécution de code à distance dans la façon dont la bibliothèque de codecs Microsoft Windows gère les objets en mémoire », a prévenu Microsoft. Cet exploit ouvre la voix à de la corruption d'images qui, une fois ouvertes dans des applications utilisant la bibliothèque de codecs Windows intégrée pour gérer le contenu multimédia, permettraient à des attaquants d'exécuter du code malveillant sur un PC Windows et potentiellement en prendre le contrôle.
Ces mises à jour de sécurité pour Windows Codecs Library concernent Windows 10 (de la 1709 à la 2004 pour les systèmes 32 bits, x64 et ARM64), Windows Server 2019 ainsi que les installations server core 1803, 1903, 1909 et 2004). Elles ne nécessitent pas d'action particulière de la part des utilisateurs et les correctifs vont être poussées automatiquement via Microsoft Store, et non via Windows Update sans précision de la part de Microsoft sur ce choix. Les utilisateurs les plus pressées peuvent rechercher une mise à jour de l'app Microsoft Store pour les recevoir immédiatement. D'après l'éditeur, aucune de ces vulnérabilités n'est actuellement exploitée. Microsoft a eu connaissance de ces failles grâce à un rapport de la Zero Day Initiative de Trend Micro et en particulier l'un de ses chercheurs, Abdul-Aziz Hariri.
Commentaire