– Microsoft lanzó dos actualizaciones de emergencia fuera de banda para abordar problemas de seguridad en la biblioteca de códecs de Windows y el código de la aplicación Visual Studio.
Estas dos actualizaciones llegan bastante tarde, después de que Microsoft lanzara actualizaciones periódicas a principios de esta semana. Se sabe que los dos agujeros de seguridad tienen la forma de ejecución de código que se puede realizar de forma remota, lo que permite a los piratas informáticos ejecutar código en el sistema de la víctima.
El primer error se denominó más tarde CVE-2020-17022. Microsoft dice que los piratas informáticos pueden crear un archivo de imagen que parece haber sido comprometido por un código malicioso, luego, si la imagen es procesada por una aplicación que se ejecuta en Windows 10, el código malicioso también funcionará para infectar el sistema de la víctima. Especialmente en Windows 10 que no se ha actualizado.
Microsoft dice que todos los sistemas operativos Windows 10 son vulnerables a esta vulnerabilidad. Sin embargo, dijo, las actualizaciones para este código de biblioteca se instalarán automáticamente en los dispositivos de los usuarios a través de Microsoft Store.
Microsoft agregó que los usuarios que son más vulnerables son los usuarios que han instalado el códec de medios HEVC de Microsoft Store. Además, HEVC en realidad no está disponible para versiones fuera de línea del instalador o distribución local, sino que solo está disponible en Microsoft Store. La biblioteca tampoco es compatible con Windows Server.
Si desea verificar si el dispositivo que está utilizando usa el códec HEVC que tiene la vulnerabilidad, el usuario puede abrir Configuración -> Aplicaciones y características y seleccionar HEVC y luego Opciones avanzadas. Las versiones declaradas por Microsoft son con las series 1.0.32762.0, 1.0.32763.0 y posteriores.
El segundo error encontrado estaba en Visual Studio Code, que luego se denominó CVE-2020-17023. Para esta vulnerabilidad de seguridad, técnicamente un atacante puede crear un archivo falso package.json y cuando se carga en Visual Studio, el malware comenzará a ejecutarse.
Según la configuración de permisos que elija el usuario, un atacante que obtenga acceso de administrador tendrá acceso a todo el sistema del dispositivo del usuario. Package.json es una biblioteca que se usa comúnmente para varios proyectos basados en Javascript y es la más popular entre otras bibliotecas.
Microsoft también aconseja a los usuarios que usan Visual Studio que descarguen e instalen inmediatamente una actualización de emergencia para cerrar la vulnerabilidad.
