Microsoft libera atualização de emergência que corrige duas falhas no Windows | WeLiveSecurity

Microsoft libera atualização de emergência que corrige duas falhas no Windows

A atualização corrige dois erros que permitem a execução remota de código no Windows Codecs Library. Uma das vulnerabilidades foi classificada como crítica.

A atualização corrige dois erros que permitem a execução remota de código no Windows Codecs Library. Uma das vulnerabilidades foi classificada como crítica.

Na última terça-feira (30), a Microsoft  liberou uma série de patches de emergência que corrige uma série de vulnerabilidades graves no Windows Codecs Library que afetam várias versões do Windows 10 e do Windows Server (embora tenham sido removidas da lista de sistemas afetados). Listadas como CVE-2020-1425 e CVE-2020-1457, as duas vulnerabilidades de execução remota de código (RCE) foram classificadas de acordo com sua gravidade como “crítica” e “importante”, respectivamente.

Ambas as falhas estão relacionadas com a maneira como a Microsoft Windows Codec Library manipula objetos na memória. No caso da CVE-2020-1425, caso explorada, um atacante “pode obter informações para comprometer ainda mais o sistema do usuário”, afirmou a Microsoft. Enquanto no caso da CVE-2020-1457, a exploração bem-sucedida pode permitir que um atacante execute código arbitrário na máquina de destino do ataque. Da mesma forma, de acordo com a Microsoft, a probabilidade de exploração de ambas as falhas é baixa.

Os detalhes são escassos e não há informações sobre como essas falhas podem ser exploradas, embora a Microsoft tenha dito que explorar qualquer uma das vulnerabilidades “requer um programa para processar um arquivo de imagem especialmente criado”. Por isso, o atacante precisaria, de alguma forma, convencer a vítima a baixar e abrir um arquivo de imagem malicioso enviado por e-mail ou via um site comprometido.

As atualizações são implantadas automaticamente no Microsoft Store e não no processo de atualização do Windows. “Os clientes afetados por essas vulnerabilidades serão atualizados automaticamente pelo Microsoft Store. Portanto, os usuários não precisam executar nenhuma ação para receber a atualização “, afirmou a Microsoft.

Para verificar se as atualizações foram implementadas ou para acelerar o processo, confira o guia da Microsoft.

Newsletter

Discussão