Dans le cadre d'une publication hors cycle (et donc en urgence), Microsoft propose deux correctifs de sécurité pour Windows 10 ainsi que Windows Server 2019. Il est question de combler des vulnérabilités référencées CVE-2020-1425 et CVE-2020-1457.
Ces deux vulnérabilités peuvent être exploitées via le traitement par un programme d'un fichier image spécialement conçu. Il est fait mention d'une exécution de code à distance avec un niveau de gravité critique pour l'une et important pour l'autre.
Un point à souligner est qu'en dépit de cette urgence pour une correction, il n'y a pas eu de divulgation publique et Microsoft n'a pas connaissance d'une exploitation active dans la nature (pas de 0day pour l'heure). Autre point à souligner, c'est via le Microsoft Store - et pas Windows Update - que les correctifs sont diffusés.
Cette originalité s'explique par des problèmes qui affectent Microsoft Windows Codecs Library, à savoir la bibliothèque logicielle des codecs pour Windows.
#Microsoft released 2 patches Out-of-Band (i.e. not 2nd Tuesday) to fix #Windows Codec bugs found by @abdhariri. No patch to install; you get fixes through the Microsoft Store App. Brings their CVE total for June to 132.
— Dystopian Dustin (@dustin_childs) June 30, 2020
Microsoft a été informé des bugs de sécurité à la suite d'un rapport de Zero Day Initiative de Trend Micro. Cette initiative pour une divulgation responsable des vulnérabilités joue le rôle d'intermédiaire entre la communauté des chercheurs en sécurité (qui sont rétribués) et les éditeurs concernés par des failles qu'ils ont débusquées.
Le programme Zero Day Initiative est également connu pour son concours de hacking Pwn2Own. À défaut d'une correction dans les délais impartis après communication à Microsoft, c'est une divulgation publique qui se profilait à l'horizon. Cela explique sans doute l'urgence de la correction, sans attendre le prochain Patch Tuesday du 14 juillet.
