Clicky

Microsoft lanza actualización urgente de Windows para parchear dos fallas críticas

Windows Update seguridad

Ambos defectos residen en la Biblioteca de códecs de Windows

Microsoft lanzó ayer silenciosamente actualizaciones de software fuera de banda para parchar dos vulnerabilidades de seguridad de alto riesgo que afectan a cientos de millones de usuarios de las ediciones de Windows 10 y Server.

Cabe señalar que Microsoft se apresuró a entregar parches casi dos semanas antes de las próximas 'Actualizaciones de parches de martes' programadas para el 14 de julio.

 

Eso es probable porque ambos defectos residen en la Biblioteca de códecs de Windows, un vector de ataque fácil para las víctimas de los ingenieros sociales para que ejecuten archivos multimedia maliciosos descargados de Internet.

Para aquellos que no lo saben, Codecs es una colección de bibliotecas de soporte que ayudan al sistema operativo Windows a reproducir, comprimir y descomprimir varias extensiones de archivos de audio y vídeo.

Las dos vulnerabilidades de seguridad recientemente reveladas, asignadas CVE-2020-1425 y CVE-2020-1457, son errores de ejecución remota de código que podrían permitir a un atacante ejecutar código arbitrario y controlar la computadora Windows comprometida.

Según Microsoft, ambas vulnerabilidades de ejecución remota de código residen en la forma en que la biblioteca de códecs de Microsoft Windows maneja los objetos en la memoria.

Sin embargo, la explotación de ambos defectos requiere que un atacante engañe a un usuario que ejecuta un sistema Windows afectado para que haga clic en un archivo de imagen especialmente diseñado para abrirse con cualquier aplicación que use la biblioteca de códecs de Windows incorporada.

De ambas, CVE-2020-1425 es más crítica porque la explotación exitosa podría permitir que un atacante incluso recolecte datos para comprometer aún más el sistema del usuario afectado.

La segunda vulnerabilidad, rastreada como CVE-2020-1457, ha sido calificada como importante y podría permitir que un atacante ejecute código arbitrario en un sistema Windows afectado.

Sin embargo, ninguna de las vulnerabilidades de seguridad ha sido reportada como públicamente conocida o explotada activamente por los hackers en el momento en que Microsoft lanzó los parches de emergencia.

Según las advertencias, Abdul-Aziz Hariri, de la Iniciativa Zero Day de Trend Micro, informó a Microsoft de ambas vulnerabilidades y afecta a los siguientes sistemas operativos:

• Windows 10 version 1709
• Windows 10 version 1803
• Windows 10 version 1809
• Windows 10 version 1903
• Windows 10 version 1909
• Windows 10 version 2004
• Windows Server 2019
• Windows Server version 1803
• Windows Server version 1903
• Windows Server version 1909
• Windows Server version 2004

Dado que Microsoft no tiene conocimiento de ninguna solución o factor atenuante para estas vulnerabilidades, se recomienda encarecidamente a los usuarios de Windows que implementen los nuevos parches antes de que los atacantes comiencen a explotar los problemas y comprometan sus sistemas.

Sin embargo, la compañía está implementando las actualizaciones de seguridad fuera de banda a través de Microsoft Store, por lo que los usuarios afectados se actualizarán automáticamente sin requerir ninguna acción adicional.

Alternativamente, si no deseas esperar unas horas o un día más, puedes instalar los parches de inmediato buscando nuevas actualizaciones a través de Microsoft Store.

Jesus_Caceres