Microsoft : publication de mises à jour de sécurité urgentes pour Windows et Visual Studio
Deux failles d’exécution de code à distance (RCE) ont été corrigées dans la bibliothèque de codecs Windows et Visual Studio Code.
En effet, deux mises à jour de sécurité hors bande ont été publiées par Microsoft afin de résoudre les problèmes de sécurité dans la bibliothèque de codecs Windows et l’application Visual Studio Code. Les systèmes ayant exécuté la mise à jour anniversaire de Windows 10 ont été protégés contre ces deux exploits avant même la publication des correctifs par Microsoft.
Ces deux nouvelles failles sont des vulnérabilités d’exécution de code à distance, accordant la possibilité aux pirates d’exécuter du code sur les systèmes vulnérables. La première faille est référencée CVE-2020-17022. Microsoft affirme qu’il est possible aux attaquants de créer des images malveillantes qui permettent d’exécuter du code sur un système d’exploitation Windows non corrigé lorsqu’elles sont traitées par une application exécutée sur Windows. Ces bugs concernent toutes les versions de Windows 10. Selon Microsoft, une mise à jour de cette bibliothèque serait automatiquement installée sur les systèmes des utilisateurs via le Microsoft Store. Les seuls utilisateurs concernés sont ceux qui ont installé les codecs multimédias HEVC ou « HEVC du fabricant de périphériques » en option à partir du Microsoft Store.
HEVC n’est pas accessible pour la distribution hors ligne et n’est disponible qu’à travers le Microsoft Store. La bibliothèque n’est pas non plus prise en charge sur Windows Server. Afin de s’assurer de ne pas utiliser un codec HEVC vulnérable, les utilisateurs peuvent accéder à Paramètres, Applications et fonctionnalités, puis sélectionner HEVC, Options avancées. Les versions sécurisées sont 1.0.32762.0, 1.0.32763.0 ainsi que les versions ultérieures.
La seconde faille qui concerne Visual Studio est référencée CVE-2020-17023. Selon Microsoft, les attaquants peuvent créer des fichiers package.json malveillants qui, lors de leur chargement dans Visual Studio Code, peuvent exécuter un code malveillant. Selon les autorisations de l’utilisateur, le code d’un attaquant pourrait être exécuté avec des privilèges d’administrateur et accorder un contrôle entier sur un hôte infecté.
Il est donc fortement recommandé aux utilisateurs de Visual Studio de rapidement mettre à jour l’application en installant la version la plus récente.