Microsoft s'est empressé de corriger deux vulnérabilités de sécurité affectant la bibliothèque de codecs de Microsoft Windows et le code de Visual Studio. Ces failles de sécurité sont classées comme des vulnérabilités RCE (Remote Code Execution) et, si elles sont exploitées avec succès, pourraient permettre aux acteurs de la menace de prendre entièrement le contrôle d'un système affecté.

Les deux vulnérabilités ont un score de 7,8 sur l'échelle du Common Vulnerability Scoring System (CVSS) et sont jugées « importantes » par Microsoft. Rien ne semble indiquer que l'une ou l'autre ait été activement exploitée.

Classé sous CVE-2020-17022, la faille de sécurité de la bibliothèque de codecs de Windows n'affecte pas les utilisateurs exécutant Windows 10 dans sa configuration par défaut. Au contraire, seuls les utilisateurs qui ont installé les codecs optionnels High Efficiency Video Coding (HEVC) ou HEVC from Device Manufacturer et qui exécutent Windows 10 version 1709 ou supérieure pourraient être vulnérables.

« L'exploitation de la vulnérabilité nécessite qu'un programme traite un fichier image spécialement conçu », explique Microsoft, expliquant le vecteur d'attaque qu'un cybercriminel pourrait utiliser. La faille - pour laquelle il n'y a pas d'atténuation ou de solution de contournement connue - est liée à la manière dont la bibliothèque de codecs de Windows gère les objets en mémoire.

Il est à noter qu'au lieu du canal habituel de Microsoft Update, le patch est livré via le Microsoft Store. Comme les deux versions HVEC sont des applications ou des composants optionnels proposés aux clients via le Store, les mises à jour sont proposées par le même canal.

« Les clients concernés seront automatiquement mis à jour par le Microsoft Store. Les clients n'ont pas besoin de faire quoi que ce soit pour recevoir la mise à jour », souligne Microsoft. L'entreprise offre également ces conseils aux utilisateurs qui souhaitent accélérer le processus ou vérifier si les mises à jour ont été mises en œuvre sur leurs systèmes.

En attendant, la faille dans le code Visual Studio classé sous CVE-2020-17023 pourrait être exploitée si un utilisateur était trompé en ouvrant un fichier JSON malveillant. Comme pour la vulnérabilité précédente, il n'existe pas de solution de contournement ni de facteurs atténuants. Il est donc conseillé aux utilisateurs d'appliquer le correctif.

L'Agence américaine de cybersécurité et d'infrastructure (CISA) invite les utilisateurs à s'assurer que leurs systèmes sont mis à jour.

Microsoft a publié des mises à jour de sécurité pour remédier aux vulnérabilités d'exécution de code à distance dans la bibliothèque de codecs Windows et dans le code de Visual Studio. Pour en savoir plus, consultez le site https://t.co/YE2qzBbz4e#Cyber #Cybersecurity #InfoSec

- US-CERT (@USCERT_gov) 16 octobre 2020

Les correctifs de sécurité ont été publiés dans les jours qui ont suivi le mardi des correctifs de Microsoft, qui a traité 87 vulnérabilités, dont 12 ont été classées comme critiques sur l'échelle CVSS. La publication de correctifs hors bande est généralement réservée aux vulnérabilités inattendues, de grande envergure ou graves.