Η Microsoft διέθεσε αργά την Τρίτη δύο έκτακτες ενημερώσεις ασφαλείας για να διορθώσει δύο ευπάθειες στη Βιβλιοθήκη Microsoft Windows Codecs.
Οι ευπάθειες έχουν καταγραφεί σαν CVE-2020-1425 & CVE-2020-1457. Τα κενά ασφαλείας επηρεάζουν μόνο τις εκδόσεις Windows 10 και Windows Server 2019.
Σύμφωνα με την Microsoft τα δύο κενά ασφαλείας μπορούν να αξιοποιηθούν με τη βοήθεια ενός ειδικά κατασκευασμένου αρχείου εικόνας.
Αν λοιπόν μια κακόβουλα κατασκευασμένη εικόνα ανοίξει μέσα σε εφαρμογές που χρησιμοποιούν την ενσωματωμένη βιβλιοθήκη Windows Codecs για το χειρισμό των media, τότε θα επιτρέψει στους εισβολείς να τρέξουν κακόβουλο κώδικα σε κάποιο υπολογιστή με Windows και ενδεχομένως να αναλάβουν τον έλεγχο της συσκευής.
Τα δύο σφάλματα, που περιγράφονται ως ευπάθειες απομακρυσμένης εκτέλεσης κώδικα (RCE από το remote code execution) επιδιορθώθηκαν χθες αργά το βράδυ και δημοσιεύτηκαν δημόσια σήμερα το πρωί.
Οι ενημερώσεις στη Βιβλιοθήκη Windows Codecs, κυκλοφορούν μέσω της εφαρμογής Windows Store και όχι μέσω του Windows Update.
“Οι πελάτες μας δεν χρειάζεται να κάνουν καμία ενέργεια για να λάβουν την ενημέρωση”, αναφέρει η Microsoft.
Η εταιρεία από το Redmond ανέφερε ότι τα σφάλματα αναφέρθηκαν ιδιωτικά και δεν έχουν χρησιμοποιηθεί μέχρι σήμερα που ανακοινώθηκαν δημόσια.
Το Zero Day Initiative της Trend Micro, ένα πρόγραμμα για ενδιάμεσες επικοινωνίες μεταξύ ερευνητών ασφαλείας και μεγαλύτερων εταιρειών, ανακοίνωσε τις ευπάθειες στην Microsoft. Πίσωα από την ανακάλυψη ήταν ο ερευνητής Abdul-Aziz Hariri, που παρέδωσε τα σφάλματα στην ομάδα ZDI.