Lors de son dernier rendez-vous mensuel de chaque deuxième mardi du mois, Microsoft a livré des correctifs pour 87 vulnérabilités de sécurité dans ses produits. C'est ultérieurement que le groupe de Redmond publie deux autres mises à jour de sécurité.

Pour cette publication hors cycle, il est question de combler deux vulnérabilités de type exécution de code à distance affectant Windows Codecs Library et Visual Studio Code. " Un attaquant pourrait exploiter ces vulnérabilités pour prendre le contrôle d'un système vulnérable ", écrit la Cybersecurity and Infrastructure Security Agency (CISA).

À souligner qu'en dépit d'une publication en urgence, Microsoft ne fait pas état d'une exploitation active dans des attaques.

La vulnérabilité CVE-2020-17022 concerne toutes les versions de Windows 10. Un problème existe dans la manière dont Windows Codecs Library manipule des objets en mémoire. Une exploitation nécessite qu'un programme traite un fichier image spécialement conçu.

Il s'avère que seules les configurations où les codecs multimédias HEVC optionnels ou les " Extensions vidéo HEVC du fabricant de l'appareil " ont été installés sont vulnérables. L'installation se fait depuis le Microsoft Store et c'est également par ce biais que la mise à jour correctrice est diffusée. Microsoft précise que les versions non vulnérables sont 1.0.32762.0, 1.0.32763.0 et version ultérieure.

Pour la deuxième vulnérabilité CVE-2020-17023 dans Visual Studio Code, son exploitation peut se faire avec l'ouverture d'un fichier package.json malveillant. L'impact dépend des autorisations dans le contexte d'un utilisateur piégé.

Un fichier package.json se trouve généralement à la racine d'un projet avec un environnement d'exécution JavaScript et contient diverses métadonnées.