Microsoft ha deciso di rilasciare due aggiornamenti di sicurezza out-of-band per risolvere due gravi vulnerabilità scoperte nella libreria Windows Codecs di Windows 10 e Windows Server 2019.
Un aggressore può sfruttarle per eseguire codice malevolo semplicemente inducendo la vittima ad aprire un’immagine modificata “ad arte” per fare leva sulle lacune di sicurezza.
Il problema riguarda tutte quelle applicazioni che si appoggiano al componente Microsoft Windows Codecs Library per gestire i contenuti multimediali. Sui sistemi vulnerabili le conseguenze possono essere importanti dal momento che i malware writer possono arrivare ad acquisire pieno controllo della macchina altrui.
Le due falle sono contraddistinte dagli identificativi CVE-2020-1425 e CVE-2020-1457 e, come spiegato dall’azienda di Redmond, la distribuzione degli aggiornamenti avviene attraverso il Microsoft Store e non mediante Windows Update.
Le due patch saranno quindi applicate in automatico ma se si volesse scaricarle manualmente prima possibile, basta avviare il Microsoft Store quindi fare clic sui puntini in alto a destra e scegliere la voce Download ed aggiornamenti.
I due problemi di sicurezza sono stati scoperti e segnalati a Microsoft da un ricercatore di ZDI (Zero Day Initiative) Trend Micro.