Home / Node / Boletín de INCIBE-CERT del 19-10-2020

Boletín de INCIBE-CERT del 19-10-2020

Ejecución remota de código en Visual Studio y Microsoft Windows Codecs Library

Publication date: 
10/19/2020
Importance: 
4 - Alta
Affected resources: 
  • Windows 10 versión 1709 para sistemas de 32 bit,
  • Windows 10 versión 1709 para sistemas basados en ARM64,
  • Windows 10 versión 1709 para sistemas basados en x64,
  • Windows 10 versión 1803 para sistemas de 32 bit,
  • Windows 10 versión 1803 para sistemas basados en ARM64,
  • Windows 10 versión 1803 para sistemas basados en x64,
  • Windows 10 versión 1809 para sistemas de 32 bit,
  • Windows 10 versión 1809 para sistemas basados en ARM64,
  • Windows 10 versión 1809 para sistemas basados en x64,
  • Windows 10 versión 1903 para sistemas de 32 bit,
  • Windows 10 versión 1903 para sistemas basados en ARM64,
  • Windows 10 versión 1903 para sistemas basados en x64,
  • Windows 10 versión 1909 para sistemas basados en ARM64,
  • Windows 10 versión 1909 para sistemas basados en x64,
  • Windows 10 versión 2004 para sistemas de 32 bit,
  • Windows 10 versión 2004 para sistemas basados en ARM64,
  • Windows 10 versión 2004 para sistemas basados en x64,
  • Visual Studio Code.
Description: 

Microsoft ha publicado dos avisos de seguridad para corregir las vulnerabilidades de ejecución remota de código en los productos afectados.

Solution: 
  • Para Windows Media Codec la actualización corrige la forma en que Microsoft Windows Codecs Library maneja los objetos en memoria, los clientes afectados se actualizarán automáticamente desde Microsoft Store.   
  • Para Visual Studio, descargar la última versión que modifica la forma en que el código de Visual Studio maneja los archivos JSON.
Detail: 
  • Una vulnerabilidad en la biblioteca de códecs de Microsoft Windows, al manejar los objetos en la memoria, podría permitir a un atacante la ejecución remota de código mediante el procesado de un archivo de imagen especialmente diseñado. Se ha asignado el identificador CVE-2020-17022 para esta vulnerabilidad.
  • Una vulnerabilidad presente en el código de Visual Studio podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual, si logra engañar a ese usuario para que clone un repositorio y abra un archivo 'package.json' malicioso. Se ha asignado el identificador CVE-2020-17023 para esta vulnerabilidad.

Encuesta valoración