Actualiza ya los códecs de Windows 10: descubren graves fallos

Microsoft suele lanzar las actualizaciones para Windows 10 una vez al mes con el Patch Tuesday, que sucede en el segundo martes de cada mes. El de este mes se esperaba que llegase el próximo 14 de julio, pero la compañía ha lanzado un parche dos semanas antes debido a la gravedad de dos vulnerabilidades que han encontrado en el sistema.

Estas dos vulnerabilidades, con código CVE-2020-1425 y CVE-2020-1457, afectan a Windows 10 y Windows Server. A través de ambas vulnerabilidades, un atacante puede ejecutar código arbitrario en el sistema operativo y tomar el control del ordenador, siendo una de las vulnerabilidades más graves que pueden encontrarse en un sistema.

Windows Codecs Library: vulnerable a dos ataques

El fallo está presente en la Windows Codecs Library y en la forma en la que gestiona los objetos en la memoria. Un atacante puede obtener información de la memoria y obtener privilegios que le permitan atacar al sistema al completo. La actualización lo que hace es arreglar el fallo en la forma de gestionar los objetos en la memoria.

El fallo está presente en las siguientes versiones de Windows, incluyendo tanto las de 32 y 64 bits, y también las de ARM:

Windows 10 1709
Windows 10 1803
Windows 10 1809
Windows 10 1903
Windows 10 1909
Windows 10 2004
Windows Server 2019
Windows Server 1803
Windows Server 1903
Windows Server 1909
Windows Server 2004

El fallo fue descubierto por el investigador Abdul-Aziz Harir de Trend Micro Zero Day, y las actualizaciones de seguridad ya se encuentran disponibles en la Microsoft Store en las plataformas afectadas. Así, estos parches no están disponibles a través de Windows Update, sino que se deberían instalar automáticamente a través de la Microsoft Store. Por tanto, en este caso no tenemos que hacer nada para actualizar el sistema, ya que Microsoft se encargará de todo.

Al abrir la Microsoft Store, se instalan nuevas versiones en los códecs

Microsoft afirma que los fallos fueron reportados de manera privada entre ambas compañías, y que no han sido usados por hackers hasta la fecha. Estas palabras pueden no encajar con el hecho de que la compañía ha lanzado los parches demasiado rápido, pero es que a diferencia de lo que ocurre con Windows Update, una aplicación normal y corriente puede recibir una actualización cuando sea, como ha ocurrido en este caso.

Sin embargo, Microsoft no ha sido todo lo transparente que debía ser en este caso, ya que no revela el nombre de la actualización que soluciona el fallo en este software. En nuestro caso, al darle a «Obtener actualizaciones» en la Microsoft Store, se nos han actualizado los códecs de «Extensiones de vídeo HEVC» y «Extensiones de imagen HEIF«, pero no sabemos cuál es la última versión porque Microsoft no lo detalla en su tienda. De momento, no hay forma de saber si estamos protegidos, ya que tampoco conocemos los formatos afectados. Y si el ordenador tiene desactivada la Microsoft Store, la actualización no se instalará.

Fuente: adslzone

Protege-1