Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/07/02

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Microsoft Windows Codecs Library sistema, Windows 10 bertsio ezberdinetan, soilik Microsoft Store dendako aukerako HEVC multimedia codec-ak instalatu dituzten bezeroak (gailuaren fabrikatzaileak barne).

Azalpena:

Zero Day Initiative de Trend Micro ekimeneko Abdul-Aziz Hariri ikertzaileak bi ahultasunen berri eman dio Microsoft etxeari. Bata larritasun kritikokoa eta beste larritasun handikoa, biak urruneko kode exekuzio motakoak (RCE). Microsoft Windows Codecs Library sistemari eragiten diote.

Konponbidea:

Ahultasun horiek konpontzen dituzten bertsioak honakoak dira: 1.0.31822.0, 1.0.31823.0 eta ostekoak.

Kaltetutako bezeroak Microsoft Storek eguneratuko ditu zuzenean, eta ez dute ezer egin beharrik eguneratzea jasotzeko, soilik eguneratze automatikoen funtzionalitatea aktibatuta dutela ziurtatu.

Bestela, eguneratzea berehala jaso nahi duten bezeroek Microsoft Store aplikazioarekin bila ditzakete eguneratzeak.

Xehetasuna:

• Kodearen urrutiko exekutatzearen arloko ahultasun bat dago (RCE) Microsoft Windows Codecs Library sistemak memorian objektuak kudeatzeko daukan moduan. Ahultasun hori baliatzeko, programa batek bereziki diseinatutako irudi-artxibo bat prozesatu behar du. Erasotzaile batek erabiltzailearen sistema are gehiago konprometitzeko informazioa lortu lezake. Ahultasun horretarako, CVE-2020-1425 identifikatzailea erreserbatu da.
• Kodearen urrutiko exekutatzearen arloko ahultasun bat dago (RCE) Microsoft Windows Codecs Library sistemak memorian objektuak kudeatzeko daukan moduan, eta erasotzaile batek kode arbitrarioa exekutatu lezake. Ahultasun hori baliatzeko, programa batek bereziki diseinatutako irudi-artxibo bat prozesatu behar du. Ahultasun horretarako, CVE-2020-1457 identifikatzailea erreserbatu da.

Etiketak: Eguneratzea, Microsoft, Ahultasuna, Windows.