Patch per Windows 10 e di Windows Server 2019 correggono due bug nei codec

Sono già state distribuite le patch per due bug nei codec di Windows 10 e Windows Server 2019. Permettono di eseguire codice arbitrario sui sistemi vulnerabili.

Autore: Redazione SecurityOpenLab

Microsoft ha pubblicato due aggiornamenti per Windows al di fuori del tradizionale patch Tuesday per chiudere due falle nella libreria codec di Microsoft Windows. Gli aggiornamenti del sistema operativo sono già avvenuti tramite l'app di Windows Store.

Sono interessate tutte le release di Windows 10 e di Windows Server 2019. Le vulnerabilità sono identificate dalle sigle CVE-2020-1425 e CVE-2020-1457, entrambe possono essere sfruttate con l'aiuto di un file di immagine creato ad hoc.

L'allerta era stata lanciata dai ricercatori della Zero Day Initiative di Trend Micro, che hanno segnalato queste vulnerabilità zero day prima che venissero sfruttate. Entrambe le falle riguardano il modo in cui Microsoft Windows Codecs Library gestisce gli oggetti in memoria. Nel caso della CVE-2020-1425, se un cyber criminale riuscisse a sfruttarla potrebbe ottenere informazioni per compromettere il sistema dell'utente. Invece CVE-2020-1457 permette a un attaccante di eseguire codice arbitrario. 

Per entrambe le falle, lo sfruttamento implica che un programma elabori un file di immagine appositamente modificato. Si tratta in particolare di immagini in un formato non valido, che vengono aperte all'interno di app che utilizzano la libreria Codecs di Windows. 

La buona notizia è che da oggi nessuna delle due falle è stata sfruttata, quindi per prevenire problemi è sufficiente non bloccare l'aggiornamento predisposto dal produttore.

L'occasione è ghiotta per ricordare l'importanza dell'installazione tempestiva delle patch. Microsoft, così come la maggior parte dei produttori software, pubblicare regolarmente aggiornamenti di sicurezza che risolvono vulnerabilità più o meno insidiose. A inizio maggio Microsoft ha corretto 129 falle con un patch Tuesday da record, ma questo appuntamento non è l'unico importante nel corso del mese. Ad esempio, qualche giorno fa Nvidia ha corretto problemi dei driver per Windows e Linux, a metà maggio sono arrivate le patch di Cisco per la piattaforma di collaborazione webEx, quelle di Intel e ARM per le vulnerabilità delle CPU.

Installare le patch di sicurezza con troppo ritardo aumenta i rischi per le aziende e i costi dei data breach, tant'è vero che spesso gli attacchi sfruttano vulnerabilità note e di cui sono disponibili le correzioni.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.