Microsoft a publié mardi des avis pour fournir des détails sur deux vulnérabilités d’exécution de code à distance corrigées dans la bibliothèque de codecs Windows.

Ces deux vulnérabilités sont liées à la manière dont le composant Windows affecté gère les objets en mémoire et présentent toutes les deux un score CVSS de 7,3.

Malgré cela, Microsoft considère cependant que gravité critique, tandis que l’autre est évalué comme étant important.

La raison en est probablement le fait que l’exploitation du plus grave de ces problèmes, qui est suivi comme CVE-2020-1425, pourrait permettre à un attaquant de récolter des données qui pourraient être utilisées pour un compromis supplémentaire sur le système.

Dans l’avis publié pour le deuxième problème de sécurité, qui est suivi comme CVE-2020-1457, Microsoft note qu’une exploitation réussie entraînerait l’exécution de code arbitraire.

Ces vulnérabilités sont déclenchées lors du traitement de fichiers image spécialement conçus, explique la société technologique.

Microsoft ne fournit pas de détails spécifiques sur les vecteurs d’attaque que les adversaires pourraient utiliser pour exploiter les bogues, mais les attaques ciblant des failles similaires impliquent généralement d’attirer l’utilisateur à ouvrir un fichier conçu de manière malveillante.

Pour résoudre les problèmes de sécurité, Microsoft a corrigé la gestion des objets en mémoire de la bibliothèque de codecs Windows.

Il a été constaté que les failles affectaient Windows 10 versions 1709, 1803, 1809, 1903, 1909 et 2004 pour les systèmes 32 bits, 64 bits et ARM64, ainsi que Windows Server 2019 et Windows Server versions 1709, 1903 et 2004 (installation Server Core).

Des correctifs ont été publiés pour les systèmes concernés et sont automatiquement déployés dans le Microsoft Store. Les clients peuvent également vérifier les mises à jour avec l’application Microsoft Store.

Microsoft indique qu’il n’a pas connaissance de solutions de contournement ou de facteurs atténuants pour ces vulnérabilités, mais note également qu’elles ne sont pas exploitées lors d’attaques.

Les vulnérabilités ont été découvertes par …

Voir la source de cette publication