Microsoft ha lanzado un par de actualizaciones de seguridad para abordar las vulnerabilidades de ejecución remota de código (RCE) en Windows 10 1709 o posterior, y las distribuciones de Windows Server 2019.
Más específicamente, las vulnerabilidades existen en la Biblioteca de códecs de Microsoft Windows y están documentadas por Microsoft como CVE-2020-1425 y CVE-2020-1457. Microsoft no cree que estas vulnerabilidades hayan sido explotadas por hackers todavía.
Para las dos vulnerabilidades mencionadas anteriormente, Microsoft escribe descripciones muy similares, como se reproduce a continuación:
Existe una vulnerabilidad de ejecución remota de código en la forma en que la Biblioteca de códecs de Microsoft Windows trata los objetos en la memoria. (Un atacante que explotó con éxito esta vulnerabilidad podría obtener información para comprometer aún más el sistema del usuario. CVE-2020-1425) (Un atacante que explotó con éxito la vulnerabilidad podría ejecutar código arbitrario. CVE-2020-1457). La explotación de la vulnerabilidad requiere que un programa procese un archivo de imagen especialmente diseñado. La actualización corrige la vulnerabilidad al corregir cómo Microsoft Windows Codecs Library maneja los objetos en la memoria.
Los usuarios de Windows 10 no necesitan actuar para aplicar esta actualización, ya que Microsoft ha elegido implementar actualizaciones en la Biblioteca de códecs de Windows a través de la aplicación Windows Store, por lo que se aplican automáticamente.
