Microsoft publicó detalles acerca de dos problemas de seguridad recientemente descubiertos en el códec de Windows que afectan a las versiones de cliente y servidor de Windows 10. Los problemas se encontraron en la biblioteca de códecs de Microsoft Windows, más precisamente en la forma en que la biblioteca «maneja los objetos en la memoria».
Microsoft confirma los problemas de seguridad y define las vulnerabilidades como una vulnerabilidad de ejecución de código remoto con una severidad de crítico e importante.
Todas las versiones cliente de Windows 10 a partir de la versión 1709 de Windows 10, incluidas las versiones de 32, 64 y ARM, y varias versiones de Windows Server, incluida la instalación de Windows Server 2019 y Windows Server versión 2004 Core, se ven afectadas.
Los problemas no se explotan de forma salvaje; un atacante podría crear un archivo de imagen especialmente elaborado y conseguir que se abra en un sistema de destino para explotar la vulnerabilidad.
No se dispone de soluciones provisionales ni de mitigación, pero Microsoft ha creado una actualización que debe instalarse en los dispositivos Windows 10 y Windows 10 Server para corregir el problema y proteger los sistemas contra posibles explotaciones.
La actualización se envía a los dispositivos a través de una actualización de Microsoft Store. Microsoft señala que las actualizaciones llegarán a los dispositivos de forma automática y que los clientes no tienen que hacer nada al respecto.
Los administradores que no quieran esperar a que la actualización llegue a los sistemas pueden abrir la aplicación de Microsoft Store manualmente, seleccionar Menú > Descargas y actualizaciones, y allí el botón «obtener actualizaciones» para ejecutar una búsqueda manual de actualizaciones.
Aquí están los enlaces a las dos vulnerabilidades del portal del MSRC de Microsoft:
- CVE-2020-1425 | Vulnerabilidad de ejecución remota de código de la biblioteca de códecs de Microsoft Windows
- CVE-2020-1457 | Vulnerabilidad de ejecución remota de código de la biblioteca de códecs de Microsoft Windows
La falta de información es un problema
Microsoft no revela el nombre de la actualización que creó para resolver el problema de seguridad. Una revisión rápida de un dispositivo Surface Go de la versión 2004 de Windows 10 devolvió las actualizaciones de las aplicaciones HEIF Image Extensions y HEVC Video Extensions del fabricante del dispositivo. No está claro si estas son las actualizaciones a las que Microsoft se refiere o si la compañía aún no ha lanzado la actualización de seguridad a la población general.
Estaré atento a las actualizaciones y actualizaré el artículo si una actualización relacionada con la biblioteca de códecs de Windows está disponible.
Microsoft necesita proporcionar información adicional. No está claro cómo los administradores pueden comprobar si las actualizaciones están instaladas en los dispositivos debido a la falta de información. También sería útil la información sobre la naturaleza de la vulnerabilidad, por ejemplo, qué formatos de imagen están afectados.
Por último, una actualización de la Tienda excluye a los sistemas de la recepción de la actualización si la aplicación de la Tienda ha sido desinstalada o neutralizada.
Ahora tú…: ¿Qué opinas de esto? (a través de Computadora Bleeping)