Recursos afectados:
- Windows 10 versión 1709 para sistemas de 32 bit,
- Windows 10 versión 1709 para sistemas basados en ARM64,
- Windows 10 versión 1709 para sistemas basados en x64,
- Windows 10 versión 1803 para sistemas de 32 bit,
- Windows 10 versión 1803 para sistemas basados en ARM64,
- Windows 10 versión 1803 para sistemas basados en x64,
- Windows 10 versión 1809 para sistemas de 32 bit,
- Windows 10 versión 1809 para sistemas basados en ARM64,
- Windows 10 versión 1809 para sistemas basados en x64,
- Windows 10 versión 1903 para sistemas de 32 bit,
- Windows 10 versión 1903 para sistemas basados en ARM64,
- Windows 10 versión 1903 para sistemas basados en x64,
- Windows 10 versión 1909 para sistemas basados en ARM64,
- Windows 10 versión 1909 para sistemas basados en x64,
- Windows 10 versión 2004 para sistemas de 32 bit,
- Windows 10 versión 2004 para sistemas basados en ARM64,
- Windows 10 versión 2004 para sistemas basados en x64,
- Visual Studio Code.
Descripción:
Microsoft ha publicado dos avisos de seguridad para corregir las vulnerabilidades de ejecución remota de código en los productos afectados.
Solución:
- Para Windows Media Codec la actualización corrige la forma en que Microsoft Windows Codecs Library maneja los objetos en memoria, los clientes afectados se actualizarán automáticamente desde Microsoft Store.
- Para Visual Studio, descargar la última versión que modifica la forma en que el código de Visual Studio maneja los archivos JSON.
Detalle:
- Una vulnerabilidad en la biblioteca de códecs de Microsoft Windows, al manejar los objetos en la memoria, podría permitir a un atacante la ejecución remota de código mediante el procesado de un archivo de imagen especialmente diseñado. Se ha asignado el identificador CVE-2020-17022 para esta vulnerabilidad.
- Una vulnerabilidad presente en el código de Visual Studio podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual, si logra engañar a ese usuario para que clone un repositorio y abra un archivo ‘package.json’ malicioso. Se ha asignado el identificador CVE-2020-17023 para esta vulnerabilidad.