Múltiples vulnerabilidades en productos Microsoft

Descripción

Microsoft ha publicado dos avisos de seguridad para corregir las vulnerabilidades de ejecución remota de código en los productos afectados.
Los avisos de seguridad se refieren a:

  • CVE-2020-17022: Una vulnerabilidad en la biblioteca de códecs de Microsoft Windows, al manejar los objetos en la memoria, podría permitir a un atacante la ejecución remota de código mediante el procesado de un archivo de imagen especialmente diseñado.
  • CVE-2020-17023: Una vulnerabilidad presente en el código de Visual Studio podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual, si logra engañar a ese usuario para que clone un repositorio y abra un archivo ‘package.json’ malicioso.

Recursos afectados

  • Windows 10 versión 1709 para sistemas de 32 bit, ARM64 y x64
  • Windows 10 versión 1803 para sistemas de 32 bit, ARM64 y x64
  • Windows 10 versión 1809 para sistemas de 32 bit, ARM64 y x64
  • Windows 10 versión 1903 para sistemas de 32 bit, ARM64 y x64
  • Windows 10 versión 1909 para sistemas de 32 bit, ARM64 y x64
  • Windows 10 versión 2004 para sistemas de 32 bit, ARM64 y x64
  • Visual Studio Code

Solución

  • Para Windows Media Codec la actualización corrige la forma en que Microsoft Windows Codecs Library maneja los objetos en memoria, los clientes afectados se actualizarán automáticamente desde Microsoft Store
  • Para Visual Studio, descargar la última versión que modifica la forma en que el código de Visual Studio maneja los archivos JSON.

Referencias

CVE-2020-17022 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
CVE-2020-17023 | Visual Studio JSON Remote Code Execution Vulnerability

Artículos relacionados

Etiqueta Seresco