Microsoft publie une mise à jour de sécurité d’urgence pour corriger deux vulnérabilités dans les codecs Windows

Microsoft a publié ce mardi deux mises à jour de sécurité hors bande pour corriger deux vulnérabilités de la bibliothèque de codecs de Windows.

Détournement d’un fichier image

Nommées CVE-2020-1425 et CVE-2020-1457, les deux bugs n’affectent que les distributions Windows 10 et Windows Server 2019.

Dans les avis de sécurité publiés aujourd’hui, Microsoft explique que les deux failles de sécurité peuvent être exploitées à l’aide d’un fichier image spécialement conçu.

Si les images détournées sont ouvertes dans des applications qui utilisent la bibliothèque de codecs intégrée de Windows pour traiter le contenu multimédia, les attaquants seraient alors capables d’exécuter du code malveillant sur un ordinateur Windows pour potentiellement prendre le contrôle de l’appareil.

Correctifs déployés hors de Windows Update

Les deux failles de sécurité – décrites comme deux vulnérabilités d’exécution de code à distance (RCE) – ont reçu des correctifs plus tôt dans la journée.

Les correctifs ont été déployés sur les systèmes des clients via une mise à jour de la bibliothèque de codecs Windows, fournie par l’application Microsoft Store – et non par le mécanisme Windows Update.

« Les clients n’ont pas besoin de faire quoi que ce soit pour recevoir la mise à jour », ajoute Microsoft.

Signalement privé

La firme de Redmond a précisé que ces failles avaient été signalées en privé et qu’elles n’avaient pas été exploitées avant la sortie des correctifs aujourd’hui.

Microsoft détaille avoir appris l’existence de ces vulnérabilités après un rapport de l’initiative Zero Day de Trend Micro, un programme qui sert d’intermédiaire entre les chercheurs en sécurité et les grandes entreprises.

L’entreprise a crédité Abdul-Aziz Hariri pour cette découverte, avant de transmettre l’information à l’équipe de la ZDI.

Source : ZDNet.com