Microsoft lanzó el martes una serie de parches de emergencia para corregir una serie de vulnerabilidades graves en su biblioteca de códecs de Windows que afectan a varias versiones de Windows 10 y Windows Server (aunque luego eliminó de la lista de los sistemas afectados). Catalogadas como CVE-2020-1425 y CVE-2020-1457, las dos vulnerabilidades de ejecución de código remoto (RCE, por sus siglas en inglés) fueron clasificadas según su severidad como 'crítica' e 'importante' respectivamente.
Ambas fallas tienen que ver con la forma en que la Biblioteca de códecs de Microsoft Windows manipula los objetos en la memoria. En el caso de la CVE-2020-1425, de ser explotada por un atacante "podría obtener información para comprometer aún más el sistema del usuario", dijo Microsoft. Mientras que en el caso de la CVE-2020-1457, de ser explotada exitosamente podría permitir a un atacante ejecutar código arbitrario en la máquina blanco de su ataque. Igualmente, según publicó Microsoft, la probabilidad de explotación de ambos fallos es baja.
Los detalles son muy escasos y no hay información sobre cómo podrían ser explotadas, aunque Microsoft dijo que la explotación de cualquiera de las vulnerabilidades "requiere que un programa procese un archivo de imagen especialmente diseñado". En este sentido, el atacante necesitaría convencer de alguna manera a la víctima para que descargue y abra un archivo de imagen malicioso que puede ser enviado a través del electrónico o un sitio web comprometido.
Las actualizaciones se implementan automáticamente a través de Microsoft Store, en lugar de hacerse a través del proceso habitual de actualización de Windows. "Los clientes afectados por estas vulnerabilidades serán actualizados automáticamente por Microsoft Store. Por lo tanto, los usuarios no necesitan tomar ninguna medida para recibir la actualización ", dijo Microsoft.
Para verificar si las actualizaciones se han implementado o para acelerar el proceso, Microsoft proporciona esta guía.