Microsoft ha publicado dos actualizaciones de seguridad fuera del clásico Patch Tuesday, para solventar dos vulnerabilidades en la Biblioteca de códecs de Windows. Ambas vulnerabilidades han sido clasificadas como vulnerabilidades de Ejecución Remota de Código (RCE).
Nombrados como CVE-2020-1425 y CVE-2020-1457, estos errores solo afectan las distribuciones de Windows 10 y Windows Server 2019. En los avisos de seguridad publicados hoy, Microsoft dice que pueden explotarse con la ayuda de un archivo de imagen especialmente diseñado.
Si imágenes con formato incorrecto se abren dentro de aplicaciones que utilizan la biblioteca de códecs de Windows, incorporada para manejar contenido multimedia, entonces los atacantes podrían ejecutar código malicioso en un equipo con Windows y hacerse con el control del dispositivo.
Curiosamente, las actualizaciones están siendo desplegadas a través de una actualización de la Biblioteca de códecs de Windows, entregada a través de la aplicación de la Microsoft Store, no a través del mecanismo de Windows Update.
Estos errores se informaron en privado por Zero-Day Initiative de TrendMicro y no se habían utilizado in-the-wild antes de los parches de hoy.