Microsoft a publié mardi une mise à jour de sécurité d'urgence pour remédier à deux graves vulnérabilités de sa bibliothèque de codecs Windows qui affectent plusieurs versions de Windows 10 et Windows Server. Indexées comme CVE-2020-1425 et CVE-2020-1457, les deux failles d'exécution de code à distance (RCE) sont catégorisées respectivement comme « critiques » et « importantes ».
Les deux failles de sécurité ont trait à la manière dont la bibliothèque de codecs de Microsoft Windows gère les objets en mémoire. Un attaquant qui peut exploiter le CVE-2020-1425 « pourrait obtenir des informations pour compromettre davantage le système de l'utilisateur », selon Microsoft. L'exploitation réussie de la seconde faille, quant à elle, pourrait permettre aux attaquants d'exécuter un code arbitraire sur la machine ciblée. Chaque faille a reçu la note « exploitation moins probable » sur l'indice d'exploitabilité de Microsoft.
Les détails sont très rares et il n'y a pas de mot sur les vecteurs d'attaque spécifiques, mais Microsoft a déclaré que l'exploitation de l'une ou l'autre vulnérabilité « exige qu'un programme traite un fichier image spécialement conçu ». Par exemple, inciter la cible à télécharger et à ouvrir un fichier image malveillant partagé par courriel ou via un site web compromis.
Les mises à jour sont déployées automatiquement via le Microsoft Store, plutôt que par le biais du processus bien plus habituel de Windows Update. « Les clients concernés seront automatiquement mis à jour par le Microsoft Store. Les clients n'ont pas besoin de faire quoi que ce soit pour recevoir la mise à jour », précise Microsoft.
Afin de vérifier si les mises à jour ont été mises en œuvre ou pour accélérer le processus, Microsoft fournit ces conseils. L'entreprise n'a pas connaissance de mesures d'atténuation ou de contournement des deux vulnérabilités.