Microsoft ha publicado dos actualizaciones de seguridad fuera de ciclo para corregir problemas críticos en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code.
Apenas unos días después de la publicación de los boletines mensuales de seguridad de Microsoft, la empresa de Redmond ha lanzado dos actualizaciones de emergencia para solventar nuevas vulnerabilidades que permitirían la ejecución remota de código en los sistemas afectados.
Los nuevos fallos se seguridad están localizados en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code.
El primer error, identificado con el identificador CVE-2020-17022, está relacionado con la forma en que la biblioteca de códecs de Windows trata los objetos en memoria y podría ser aprovechado a través de un fichero de imagen especialmente diseñado para lograr ejecutar código remoto. Se encuentran afectados todos aquellos sistemas Windows 10 en los que han sido instalado los códecs opcionales HEVC (High Efficiency Video Coding) o «HEVC del fabricante del dispositivo» desde Microsoft Store.
Se recomienda verificar la existencia de dichos códecs desde el apartado «Configuración», «Aplicaciones y características» y «HEVC, Opciones avanzadas», así como comprobar si se está utilizando una versión vulnerable de los mismos. Las versiones seguras son las siguientes: 1.0.32762.0, 1.0.32763.0 y posteriores.
El segundo error se ha identificado como CVE-2020-17023 y estaría causado por la forma en que Visual Studio Code maneja los ficheros JSON. Para aprovechar esta vulnerabilidad, un atacante podría convencer a un usuario objetivo para que clone un repositorio -que contiene un archivo ‘package.json’ malicioso- y lo abra con Visual Studio Code. La explotación exitosa de esta vulnerabilidad permitiría la ejecución de código arbitrario en el contexto del usuario actual, esto es, con su nivel de permisos.
Se recomienda a los usuarios de Visual Studio Code actualizar la aplicación a la última versión tan pronto como sea posible.
Más información:
CVE-2020-17022 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022
CVE-2020-17023 | Visual Studio JSON Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023