Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades de RCE en Microsoft Windows Codecs Library

Múltiples vulnerabilidades de RCE en Microsoft Windows Codecs Library

Fecha de publicación: 
02/07/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Microsoft Windows Codecs Library en distintas versiones de Windows 10, solo los clientes que hayan instalado los códecs multimedia HEVC (incluidos los del fabricante del dispositivo) opcionales de Microsoft Store.

Descripción: 

Abdul-Aziz Hariri, perteneciente a Zero Day Initiative de Trend Micro, ha reportado dos vulnerabilidades a Microsoft, una con severidad crítica y otra alta, ambas de tipo ejecución remota de código (RCE), que afectan a Microsoft Windows Codecs Library.

Solución: 

Las versiones que solucionan estas vulnerabilidades son 1.0.31822.0, 1.0.31823.0 y posteriores.

Los clientes afectados serán actualizados automáticamente por Microsoft Store y no necesitan realizar ninguna acción para recibir la actualización, únicamente asegurarse de que tienen activada la funcionalidad de actualizaciones automáticas.

Alternativamente, los clientes que desean recibir la actualización de inmediato pueden buscar actualizaciones con la aplicación Microsoft Store.

Detalle: 
  • Existe una vulnerabilidad de ejecución remota de código (RCE) en la forma en que Microsoft Windows Codecs Library gestiona los objetos en la memoria. La explotación de la vulnerabilidad requiere que un programa procese un archivo de imagen especialmente diseñado. Un atacante podría obtener información para comprometer aún más el sistema del usuario. Se ha reservado el identificador CVE-2020-1425 para esta vulnerabilidad.
  • Existe una vulnerabilidad de ejecución remota de código (RCE) en la forma en que Microsoft Windows Codecs Library gestiona los objetos en la memoria, que permitiría a un atacante ejecutar código arbitrario. La explotación de la vulnerabilidad requiere que un programa procese un archivo de imagen especialmente diseñado. Se ha reservado el identificador CVE-2020-1457 para esta vulnerabilidad.

Encuesta valoración