Nonostante abbia iniziato la distribuzione degli aggiornamenti qualitativi di ottobre 2020 appena lo scorso martedì, Microsoft ha deciso di rilasciare due aggiornamenti out-of-band per risolvere alcune nuove falle di sicurezza sfruttabili in modalità remota.
Alle due problematiche sono stati assegnati gli identificativi CVE-2020-17022 e CVE-2020-17023.
Il primo è un bug che riguarda tutte le versioni di Windows 10 dalla 1709 in avanti seppur non nella loro configurazione predefinita. Esposti a possibili rischi sono coloro che hanno scaricato i codec HEVC opzionali dal Microsoft Store: HEIC e HEVC: come aprire i due formati di file con Windows 10.
Digitando App e funzionalità si accede alla lista dei programmi installati. Digitando HEVC
in Cerca in questo elenco quindi selezionando la voce Estensioni HEVC del produttore del dispositivo e infine cliccando su Opzioni avanzate, si può verificare la versione del codec correntemente installata. Quelle sicure sono le release 1.0.32762.0, 1.0.32763.0 e successive.
Inviando alla vittima un’immagine modificata ad arte, un aggressore può provocare l’esecuzione di codice sul sistema altrui.
La seconda vulnerabilità riguarda gli utenti di Visual Studio Code, ottimo editor per lo sviluppo di applicazioni in qualunque linguaggio di programmazione: Visual Studio Code: cos’è e come funziona.
In questo caso l’esecuzione di codice arbitrario può verificarsi semplicemente inducendo l’utente ad aprire un file JSON creato “ad arte”.
In entrambi i casi l’utilizzo di un account utente dotato dei privilegi di amministratore può comportare l’applicazione di modifiche sulla configurazione del sistema operativo e permettere a soggetti terzi la sottrazione di dati personali.