Microsoft vient de publier en urgence deux nouvelles mises à jour Windows 10. Elles corrigent des failles de sécurité affectant la bibliothèque Windows Codecs et le code Visual Studio.
La situation est intéressante car ces deux mises à jour de sécurité débarquent quelques jours seulement après la grande maintenance du géant. Le Patch Tuesday du mois d’octobre a eu lieu le 13 octobre dernier. Le géant du logiciel déploie des correctifs afin de résoudre des vulnérabilités dites « d’exécution de code à distance ». Elle frappe deux composants, à savoir la bibliothèque Windows Codecs et Visual Studio Code.
La disponibilité de ces mises à jour a été annoncée par la CISA. La Cybersecurity and Infrastructure Security Agency est attachée au département de la Sécurité intérieure des États-Unis. L’annonce a été faite au travers d’un avis publié sur son site Internet. Il recommande aux administrateurs de corriger leurs appareils dès que possible. Nous pouvons lire
“Microsoft a publié des mises à jour de sécurité pour résoudre des vulnérabilités d’exécution de code distant affectant la bibliothèque Windows Codecs et le code Visual Studio. Un attaquant peut exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté. La CISA encourage les utilisateurs et les administrateurs à examiner les avis de sécurité de Microsoft CVE-2020-17022 et CVE-2020-17023 et à appliquer les mises à jour nécessaires.”
Ces nouveaux avis CVE ont été mis en ligne par Microsoft le 15 octobre dernier.
Windows 10 et CVE-2020-17022 / CVE-2020-17023
Ces nouveaux avis CVE ont été mis en ligne par Microsoft le 15 octobre dernier.
- CVE-2020-17022 – Vulnérabilité d’exécution de code distant de la bibliothèque Microsoft Windows Codecs
- CVE-2020-17023 – Vulnérabilité d’exécution de code distant Visual Studio JSON
Dans le premiers cas Microsoft précise que l’attaquant doit convaincre sa victime d’ouvrir un fichier spécialement conçu. Lorsque cela se produit, il devient possible d’exécuter un code arbitraire. Le correctif apporte une solution en modifiant la façon dont la bibliothèque gère les objets en mémoire. Cette vulnérabilité affecte toutes les versions de Windows 10, y compris May 2020 Update. Il s’agit d’une vulnérabilité jugée « importante »
Concernant la vulnérabilité « Visual Studio code» une attaque réussie nécessite d’exécuter un fichier “package.json” malveillant. Bien qu’il s’agisse évidemment d’une attaque plus complexe, si les pré-requis sont rencontrés, l’attaquant est en mesure de prendre le contrôle du système. Sa victime doit être connectée avec des droits d’administrateur. Le pirate peut alors installer des programmes, afficher, modifier, supprimer des données et créer de nouveaux comptes avec les droits d’utilisateur complets.
Cette faille est également jugée importante. La bonne nouvelle est qu’il n’existe pas d’attaque connue exploitant ces défaillances.
Une précision :
– Le codec HEVC impacté n’est pas fournit de base dans win10 c’est une app windows store qu’il faut avoir installée (payante en plus), et c’est le store qui fait la mise a jour et pas windows update
Je ne l’ai pas (Get-AppxPackage -Name Microsoft.HEVCVideoExtension* donne rien dans powershell)
– “Visual Studio Code” n’est pas fourni dans win10 c’est un soft de programmation Microsoft gratuit (pour programmeur) qui a ce nom, et qui donc a(avait) une vulnérabilité.
C’est intéressant pour ceux qui les ont cela dit.