Windows 10

Windows 10, Microsoft publie en urgence deux mises à jour de sécurité, bilan

Microsoft vient de publier en urgence deux nouvelles mises à jour Windows 10. Elles corrigent des failles de sécurité affectant la bibliothèque Windows Codecs et le code Visual Studio.

La situation est intéressante car ces deux mises à jour de sécurité débarquent quelques jours seulement après la grande maintenance du géant. Le Patch Tuesday du mois d’octobre a eu lieu le 13 octobre dernier. Le géant du logiciel déploie des correctifs afin de résoudre des vulnérabilités dites « d’exécution de code à distance ». Elle frappe deux composants, à savoir la bibliothèque Windows Codecs et  Visual Studio Code.

La disponibilité de ces mises à jour a été annoncée par la CISA. La Cybersecurity and Infrastructure Security Agency est attachée au département de la Sécurité intérieure des États-Unis. L’annonce a été faite au travers d’un avis publié sur son site Internet. Il recommande aux administrateurs de corriger leurs appareils dès que possible. Nous pouvons lire

“Microsoft a publié des mises à jour de sécurité pour résoudre des vulnérabilités d’exécution de code distant affectant la bibliothèque Windows Codecs et le code Visual Studio. Un attaquant peut exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté. La CISA encourage les utilisateurs et les administrateurs à examiner les avis de sécurité de Microsoft CVE-2020-17022 et CVE-2020-17023 et à appliquer les mises à jour nécessaires.”

Ces nouveaux avis CVE ont été mis en ligne par Microsoft le 15 octobre dernier.

Windows 10 et CVE-2020-17022 / CVE-2020-17023

Ces nouveaux avis CVE ont été mis en ligne par Microsoft le 15 octobre dernier.

  • CVE-2020-17022 – Vulnérabilité d’exécution de code distant de la bibliothèque Microsoft Windows Codecs
  • CVE-2020-17023 – Vulnérabilité d’exécution de code distant Visual Studio JSON

Dans le premiers cas Microsoft précise que l’attaquant doit convaincre sa victime d’ouvrir un fichier spécialement conçu. Lorsque cela se produit, il devient possible d’exécuter un code arbitraire. Le correctif apporte une solution en modifiant la façon dont la bibliothèque gère les objets en mémoire. Cette vulnérabilité affecte toutes les versions de Windows 10, y compris May 2020 Update. Il s’agit d’une vulnérabilité jugée « importante »

Concernant la vulnérabilité « Visual Studio code» une attaque réussie nécessite d’exécuter un fichier “package.json” malveillant. Bien qu’il s’agisse évidemment d’une attaque plus complexe, si les pré-requis sont rencontrés, l’attaquant est en mesure de prendre le contrôle du système. Sa victime doit être connectée avec des droits d’administrateur. Le pirate peut alors installer des programmes, afficher, modifier, supprimer des données et créer de nouveaux comptes avec les droits d’utilisateur complets.

Cette faille est également jugée importante. La bonne nouvelle est qu’il n’existe pas d’attaque connue exploitant ces défaillances.

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Voir commentaires

  • Une précision :
    - Le codec HEVC impacté n'est pas fournit de base dans win10 c'est une app windows store qu'il faut avoir installée (payante en plus), et c'est le store qui fait la mise a jour et pas windows update
    Je ne l'ai pas (Get-AppxPackage -Name Microsoft.HEVCVideoExtension* donne rien dans powershell)

    - "Visual Studio Code" n'est pas fourni dans win10 c'est un soft de programmation Microsoft gratuit (pour programmeur) qui a ce nom, et qui donc a(avait) une vulnérabilité.

    C'est intéressant pour ceux qui les ont cela dit.

Partager
Publié par
Jérôme Gianoli

Article récent

SSD PCIe 5.0 x4 Platinum P51, SK hynix annonce du 14,7 Go/s !

Annoncé en mars dernier, le SK hynix Platinum P51 PCIe 5.0 est enfin lancé en… Lire d'avantage

16/12/2024

FA200, Acer dévoile un nouveau SSD PCIe 4.0 x4

Acer lève le voile sur sa gamme de SSD FA200 PCIe 4.0. Visant le milieu… Lire d'avantage

16/12/2024

Kioxia Exceria Plus G4 : Un SSD M.2 NVMe Gen 5 milieu de gamme prometteur

Kioxia a dévoilé l'Exceria Plus G4, un SSD M.2 NVMe qui promet des débits musclés… Lire d'avantage

16/12/2024

Mastic Putty de Thermal Grizzly : une alternative aux pads thermiques

Le mastic thermique de Thermal Grizzly se positionne comme une solution haut de gamme pour… Lire d'avantage

16/12/2024

Windows 11 et les PCs non pris en charge, il est temps de clarifier la situation

Un récent article de PCWorld, a semé une confusion en affirmant que Microsoft aurait assoupli… Lire d'avantage

16/12/2024

Windows 11 et Recall, la polémique est toujours là malgré des avancées !

Le retour de Recall n'est pas sans problème. Les critiques sont toujours là autour de… Lire d'avantage

16/12/2024