Na última terça-feira (30), a Microsoft liberou uma série de patches de emergência que corrige uma série de vulnerabilidades graves no Windows Codecs Library que afetam várias versões do Windows 10 e do Windows Server (embora tenham sido removidas da lista de sistemas afetados). Listadas como CVE-2020-1425 e CVE-2020-1457, as duas vulnerabilidades de execução remota de código (RCE) foram classificadas de acordo com sua gravidade como “crítica” e “importante”, respectivamente.
Ambas as falhas estão relacionadas com a maneira como a Microsoft Windows Codec Library manipula objetos na memória. No caso da CVE-2020-1425, caso explorada, um atacante “pode obter informações para comprometer ainda mais o sistema do usuário", afirmou a Microsoft. Enquanto no caso da CVE-2020-1457, a exploração bem-sucedida pode permitir que um atacante execute código arbitrário na máquina de destino do ataque. Da mesma forma, de acordo com a Microsoft, a probabilidade de exploração de ambas as falhas é baixa.
Os detalhes são escassos e não há informações sobre como essas falhas podem ser exploradas, embora a Microsoft tenha dito que explorar qualquer uma das vulnerabilidades "requer um programa para processar um arquivo de imagem especialmente criado". Por isso, o atacante precisaria, de alguma forma, convencer a vítima a baixar e abrir um arquivo de imagem malicioso enviado por e-mail ou via um site comprometido.
As atualizações são implantadas automaticamente no Microsoft Store e não no processo de atualização do Windows. “Os clientes afetados por essas vulnerabilidades serão atualizados automaticamente pelo Microsoft Store. Portanto, os usuários não precisam executar nenhuma ação para receber a atualização ", afirmou a Microsoft.
Para verificar se as atualizações foram implementadas ou para acelerar o processo, confira o guia da Microsoft.
