Microsoft publie en urgence deux mises à jour de sécurité Windows 10. Elles colmatent des failles affectant également Windows Server. La situation est critique car la firme n’a pas attendu le prochain Patch Tuesday.
A deux semaines environ de la grande maintenance mensuelle de son écosystème logiciel, Microsoft déploie deux nouvelles mises à jour de sécurité. Elles s’adressent aux périphériques sous Windows 10 et Windows Serveur.
En parallèle Redmond tente de rassurer en soulignant que les failles colmatées n’ont pas été publiquement divulguées. Leur exploitation serait du coup « moins probrable ». L’objectif de cette publication est de corriger ces deux vulnérabilités dès que possible et ne pas attendre le prochain Patch Tuesday prévu le 14 juillet prochain.
Windows 10 et Server sont touchés
Ces failles sont détaillées dans les avis CVE-2020-1425 et CVE-2020-1457. Leur exploitation permet à un pirate d’exécuter un code arbitraire et de prendre le contrôle de l’ordinateur compromis.
Microsoft ajoute
« Une vulnérabilité d’exécution de code distant existe dans la façon dont Windows Codecs Library gère les objets en mémoire. Un attaquant qui réussit à exploiter cette vulnérabilité peut obtenir des informations pour compromettre le système de l’utilisateur. »
Cette défaillance de sécurité touche plusieurs versions de Windows 10 et Server. Voici les détails
- Windows 10 v1709, 1803, 1809, 1903, 1909 et 2004,
- Windows Server 2019 et Windows Server v1803, 1903, 1909 et 2004.
Le géant rajoute
“L’exploitation de cette vulnérabilité exige qu’un programme traite un fichier d’image spécialement conçu. La mise à jour colmate cette vulnérabilité en corrigeant la façon dont Microsoft Windows Codecs Library gère les objets en mémoire.”
Ces correctifs font partie de la dernière mise à jour de Windows Media Codec disponible sur le Microsoft Store.