Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución remota de código en Visual Studio y Microsoft Windows Codecs Library

Fecha de publicación 19/10/2020
Importancia
4 - Alta
Recursos Afectados
  • Windows 10 versión 1709 para sistemas de 32 bit,
  • Windows 10 versión 1709 para sistemas basados en ARM64,
  • Windows 10 versión 1709 para sistemas basados en x64,
  • Windows 10 versión 1803 para sistemas de 32 bit,
  • Windows 10 versión 1803 para sistemas basados en ARM64,
  • Windows 10 versión 1803 para sistemas basados en x64,
  • Windows 10 versión 1809 para sistemas de 32 bit,
  • Windows 10 versión 1809 para sistemas basados en ARM64,
  • Windows 10 versión 1809 para sistemas basados en x64,
  • Windows 10 versión 1903 para sistemas de 32 bit,
  • Windows 10 versión 1903 para sistemas basados en ARM64,
  • Windows 10 versión 1903 para sistemas basados en x64,
  • Windows 10 versión 1909 para sistemas basados en ARM64,
  • Windows 10 versión 1909 para sistemas basados en x64,
  • Windows 10 versión 2004 para sistemas de 32 bit,
  • Windows 10 versión 2004 para sistemas basados en ARM64,
  • Windows 10 versión 2004 para sistemas basados en x64,
  • Visual Studio Code.
Descripción

Microsoft ha publicado dos avisos de seguridad para corregir las vulnerabilidades de ejecución remota de código en los productos afectados.

Solución
  • Para Windows Media Codec la actualización corrige la forma en que Microsoft Windows Codecs Library maneja los objetos en memoria, los clientes afectados se actualizarán automáticamente desde Microsoft Store.   
  • Para Visual Studio, descargar la última versión que modifica la forma en que el código de Visual Studio maneja los archivos JSON.
Detalle
  • Una vulnerabilidad en la biblioteca de códecs de Microsoft Windows, al manejar los objetos en la memoria, podría permitir a un atacante la ejecución remota de código mediante el procesado de un archivo de imagen especialmente diseñado. Se ha asignado el identificador CVE-2020-17022 para esta vulnerabilidad.
  • Una vulnerabilidad presente en el código de Visual Studio podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual, si logra engañar a ese usuario para que clone un repositorio y abra un archivo 'package.json' malicioso. Se ha asignado el identificador CVE-2020-17023 para esta vulnerabilidad.

Encuesta valoración