Windows et Visual Studio : Microsoft corrige deux vulnérabilités en urgence

Le par Jérôme G.  |  0 commentaire(s)
patch

Deux mises à jour de sécurité sont publiées hors cycle par Microsoft. Une affecte Windows Codecs Library pour toutes les versions de Windows 10. En lien avec des codecs multimédias optionnels.

Lors de son dernier rendez-vous mensuel de chaque deuxième mardi du mois, Microsoft a livré des correctifs pour 87 vulnérabilités de sécurité dans ses produits. C'est ultérieurement que le groupe de Redmond publie deux autres mises à jour de sécurité.

Pour cette publication hors cycle, il est question de combler deux vulnérabilités de type exécution de code à distance affectant Windows Codecs Library et Visual Studio Code. " Un attaquant pourrait exploiter ces vulnérabilités pour prendre le contrôle d'un système vulnérable ", écrit la Cybersecurity and Infrastructure Security Agency (CISA).

À souligner qu'en dépit d'une publication en urgence, Microsoft ne fait pas état d'une exploitation active dans des attaques.

La vulnérabilité CVE-2020-17022 concerne toutes les versions de Windows 10. Un problème existe dans la manière dont Windows Codecs Library manipule des objets en mémoire. Une exploitation nécessite qu'un programme traite un fichier image spécialement conçu.

Il s'avère que seules les configurations où les codecs multimédias HEVC optionnels ou les " Extensions vidéo HEVC du fabricant de l'appareil " ont été installés sont vulnérables. L'installation se fait depuis le Microsoft Store et c'est également par ce biais que la mise à jour correctrice est diffusée. Microsoft précise que les versions non vulnérables sont 1.0.32762.0, 1.0.32763.0 et version ultérieure.

Pour la deuxième vulnérabilité CVE-2020-17023 dans Visual Studio Code, son exploitation peut se faire avec l'ouverture d'un fichier package.json malveillant. L'impact dépend des autorisations dans le contexte d'un utilisateur piégé.

Un fichier package.json se trouve généralement à la racine d'un projet avec un environnement d'exécution JavaScript et contient diverses métadonnées.

  • Partager ce contenu :
Complément d'information
  • Windows Server, Visual Studio et SQL Server en février 2008
    La firme de Redmond lancera le 27 février prochain plusieurs produits - Windows Server 2008, Visual Studio 2008 et SQL Server 2008 - dans le cadre de ce qu'elle appelle une " vague de lancements " accompagnés de centaines d'événements ...
  • Visual Studio 2005 SP1 indispensable avec Windows Vista
    Microsoft n'a pas fait que des heureux, en annonçant que son outil de développement de logiciels pour Windows Visual Studio 2005 n'était pas, dans l'état actuel des choses, compatible avec Windows Vista, et ...

Vos commentaires

icone Suivre les commentaires
Poster un commentaire