SecurityOpenLab

Patch per Windows 10 e di Windows Server 2019 correggono due bug nei codec

Sono già state distribuite le patch per due bug nei codec di Windows 10 e Windows Server 2019. Permettono di eseguire codice arbitrario sui sistemi vulnerabili.

Microsoft ha pubblicato due aggiornamenti per Windows al di fuori del tradizionale patch Tuesday per chiudere due falle nella libreria codec di Microsoft Windows. Gli aggiornamenti del sistema operativo sono già avvenuti tramite l'app di Windows Store.

Sono interessate tutte le release di Windows 10 e di Windows Server 2019. Le vulnerabilità sono identificate dalle sigle CVE-2020-1425 e CVE-2020-1457, entrambe possono essere sfruttate con l'aiuto di un file di immagine creato ad hoc.

L'allerta era stata lanciata dai ricercatori della Zero Day Initiative di Trend Micro, che hanno segnalato queste vulnerabilità zero day prima che venissero sfruttate. Entrambe le falle riguardano il modo in cui Microsoft Windows Codecs Library gestisce gli oggetti in memoria. Nel caso della CVE-2020-1425, se un cyber criminale riuscisse a sfruttarla potrebbe ottenere informazioni per compromettere il sistema dell'utente. Invece CVE-2020-1457 permette a un attaccante di eseguire codice arbitrario. 
windows 10 caricamento
Per entrambe le falle, lo sfruttamento implica che un programma elabori un file di immagine appositamente modificato. Si tratta in particolare di immagini in un formato non valido, che vengono aperte all'interno di app che utilizzano la libreria Codecs di Windows. 

La buona notizia è che da oggi nessuna delle due falle è stata sfruttata, quindi per prevenire problemi è sufficiente non bloccare l'aggiornamento predisposto dal produttore.

L'occasione è ghiotta per ricordare l'importanza dell'installazione tempestiva delle patch. Microsoft, così come la maggior parte dei produttori software, pubblicare regolarmente aggiornamenti di sicurezza che risolvono vulnerabilità più o meno insidiose. A inizio maggio Microsoft ha corretto 129 falle con un patch Tuesday da record, ma questo appuntamento non è l'unico importante nel corso del mese. Ad esempio, qualche giorno fa Nvidia ha corretto problemi dei driver per Windows e Linux, a metà maggio sono arrivate le patch di Cisco per la piattaforma di collaborazione webEx, quelle di Intel e ARM per le vulnerabilità delle CPU.

Installare le patch di sicurezza con troppo ritardo aumenta i rischi per le aziende e i costi dei data breach, tant'è vero che spesso gli attacchi sfruttano vulnerabilità note e di cui sono disponibili le correzioni.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 01/07/2020

Tag: microsoft cyber security patch windows


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore