Microsoft a publié deux mises à jour de sécurité hors bande pour corriger les vulnérabilités de sécurité d’exécution de code à distance affectant la bibliothèque de codecs Microsoft Windows sur plusieurs versions de Windows 10 et Windows Server.

Les deux vulnérabilités sont suivies comme CVE-2020-1425 et CVE-2020-1457, la première étant jugée critique tandis que la seconde a reçu une cote de gravité importante.

Les plates-formes de bureau et de serveur affectées

Dans les deux cas, le problème d’exécution de code à distance est dû à la façon dont la bibliothèque de codecs Microsoft Windows gère les objets en mémoire.

Après avoir réussi à exploiter CVE-2020-1425, les attaquants « pourraient obtenir des informations afin de compromettre davantage le système de l’utilisateur », tandis qu’une exploitation réussie de CVE-2020-1457 pourrait conduire à l’exécution de code arbitraire sur des systèmes vulnérables.

Selon Microsoft, les deux mises à jour de sécurité hors bande corrigent les vulnérabilités «en corrigeant la façon dont la bibliothèque de codecs Microsoft Windows traite les objets en mémoire».

Les systèmes concernés incluent les plates-formes de bureau Windows 10 versions 1709 ou ultérieures et Windows Server 2019 et plusieurs versions de Windows Server (installation Server Core) pour les deux problèmes de sécurité.

Aucune atténuation disponible, les mises à jour s’installeront automatiquement

Microsoft indique qu’il n’a identifié aucune mesure d’atténuation ni solution de contournement pour ces deux vulnérabilités.

« Les clients concernés seront automatiquement mis à jour par le Microsoft Store. Les clients ne doivent entreprendre aucune action pour recevoir la mise à jour », explique Microsoft,

« Alternativement, les clients qui souhaitent recevoir la mise à jour immédiatement peuvent vérifier les mises à jour avec l’application Microsoft Store; plus d’informations sur ce processus peuvent être trouvées ici. »

Infos WEB:  Cognizant dit que des données ont été volées lors d'une attaque de ransomware en avril

Ces deux vulnérabilités ont été signalées à Microsoft par Abdul-Aziz Hariri de Zero Day Initiative de Trend Micro.

Voir la source de cette publication