Microsoft: de nouveaux patchs pour Windows 10 et Server 2019

Microsoft a discrètement distribué deux nouvelles mises à jour de sécurité pour corriger les failles d’exécution de code à distance dans la bibliothèque de codecs Microsoft Windows.

La bibliothèque de codecs Windows gère la façon dont le système d’exploitation compresse les gros fichiers multimédias tels que les photos et les vidéos, puis les décode pour les lire dans les applications. Ces nouvelles mises à jour corrigent une faille de gravité critique (CVE-2020-1425) ainsi qu’une vulnérabilité de gravité importante (CVE-2020-1457) et ont été envoyées via Windows Update. Ces failles affectent plusieurs versions de Windows 10 et Windows Server 2019.

Si CVE-2020-1425 était exploité, cela pourrait permettre à un pirate informatique d’exécuter du code arbitraire, tandis que CVE-2020-1457 pourrait être exploité pour permettre à un hacker d’obtenir des informations susceptibles de compromettre davantage le système de l’utilisateur. Ces deux failles peuvent être exploitées si les utilisateurs des systèmes affectés ouvrent des fichiers multimédias corrompus dans des applications qui utilisent la bibliothèque de codecs Windows.

microsoft windows

Microsoft a inclus une liste complète des distributions Windows 10 et Windows Server affectées par ces failles mais a offraient peu de détails spécifiques sur ces vulnérabilités. La firme américaine a toutefois déclaré qu’il n’y avait aucune atténuation ou solution de contournement pour ces vulnérabilités.

Les clients concernés n’ont pas besoin de prendre des mesures pour recevoir la mise à jour, car leurs appareils seront automatiquement mis à jour par Microsoft Store. Les clients qui veulent s’assurer d’avoir reçu la mise à jour peuvent vérifier cela avec l’application Store.

Microsoft a crédité le chercheur en sécurité Abdul-Aziz Hariri pour avoir identifié les failles et les avoir signalées à Zero Day Initiative (ZDI) de Trend Micro, selon un rapport publié par ZDNet.

Les mises à jour de Microsoft

Il n’est pas rare que Microsoft publie des mises à jour en dehors du deuxième mardi de chaque mois, également appelé «Patch Tuesday». Cependant, la société le fait généralement en réponse à des vulnérabilités découvertes par des chercheurs en sécurité tiers, y compris des concurrents tels que Google, qui sont vulnérables à des attaques. Microsoft a déclaré n’avoir détecté aucune exploitation de la bibliothèque de codecs Windows par des pirates informatiques.

microsoft

Ces correctifs surviennent des semaines après le Patch Tuesday de Microsoft, où ils ont distribué des correctifs pour 129 vulnérabilités – le plus grand nombre de CVE jamais publiés par Microsoft en un seul mois. Dans cette précédente mise à jour de sécurité, 11 failles critiques d’exécution de code à distance ont été corrigées dans Windows, SharePoint, Windows Shell, VBScript et d’autres produits. Contrairement à d’autres mises à jour mensuelles récentes de Microsoft, les mises à jour de juin n’incluaient aucune vulnérabilité zero-day attaquée activement dans la nature.

Si cet article vous a plu, jetez un œil à notre article précédent.