Microsoft lanza parche urgente para fallas de alto riesgo de Windows 10

Microsoft ha lanzado correcciones de emergencia para dos vulnerabilidades de ejecución remota de código (RCE) que afectan a los códecs en Windows 10 y Windows Server 2019, no sincronizadas con sus actualizaciones de rutina del martes de parches.

Asignados CVE-2020-1425 y CVE-2020-1457, ambos defectos se centran en la forma en que la biblioteca de códecs de Microsoft Windows maneja los objetos en la memoria y se les ha otorgado una puntuación CVSS de 7,3 cada uno.

La explotación exitosa permitiría a un atacante usar las dos fallas para ejecutar código arbitrario y obtener información para comprometer aún más el sistema de un usuario.

Las vulnerabilidades afectan a los clientes que utilizan varias iteraciones de Windows 10, incluida la última actualización de mayo de 2020, así como Windows Server 2019, según los avisos de seguridad publicados por Microsoft.

Cada uno puede explotarse usando un archivo de imagen especialmente diseñado, que está diseñado para abrirse dentro de aplicaciones que usan la biblioteca de códecs de Windows. Si se abre el archivo de imagen, los atacantes podrían ejecutar un código malicioso en la máquina de un usuario y, finalmente, tomar el control de su dispositivo.

Microsoft insiste en que los clientes afectados no necesitan tomar ninguna medida, porque Microsoft Store parcheará automáticamente la biblioteca de códecs de Windows, en lugar de que los parches se publiquen a través de Windows Update.

Los clientes que deseen recibir la actualización de inmediato pueden buscar actualizaciones con la aplicación Microsoft Store, con más información disponible sobre este proceso.

Microsoft normalmente reserva correcciones de seguridad esenciales para su ronda de actualizaciones mensuales Patch Tuesday, aunque la compañía ocasionalmente lanza correcciones fuera de banda cuando se descubren vulnerabilidades graves y necesitan mitigación inmediata.

En uno de los parches más recientes de la compañía, se lanzaron correcciones para tres fallas de día cero bajo explotación activa, como parte de una ola de 113 parches. Dos de estas fallas críticas se encontraban en Adobe Type Manager Library, y Microsoft advirtió previamente que estaban siendo explotadas en “ataques limitados”.

0 Shares:
Te Recomendamos