La seguridad es uno de los pilares fundamentales para Microsoft en Windows 10. Desde que el sistema operativo fuese lanzado, los de Redmond hicieron varios cambios en cuanto a la forma de actualizar su software. De esta forma, en lugar de esperar al segundo martes de cada mes, las actualizaciones de seguridad importantes se lanzarían en cuanto estuviesen disponibles.
En esta ocasión, Microsoft se ha visto obligada a lanzar sendas actualizaciones para Windows 10 y Visual Studio, con el objetivo de mitigar dos graves vulnerabilidades. Esta actualización llega algunos días después de que lanzasen la última acumulativa, que ponía fin a 87 vulnerabilidades presentes en el sistema operativo más utilizado del mundo.
El agujero de Windows 10 estaba provocado por el códec HEVC
El primer error está catalogado como CVE-2020-17022, y afecta a todas las versiones de Windows 10. Microsoft indica que los atacantes pueden utilizar archivos de imágenes que, al ser abiertos por una aplicación de Windows, puede permitir al atacante la ejecución remota de código en un sistema Windows no parcheado. Concretamente, afecta a las imágenes que utilizan el códec HEVC.
La actualización en cuestión no llegará a través de Windows Update, sino que se realizará a través de la Microsoft Store. La tienda actualizará la aplicación «HEVC del fabricante del dispositivo», por lo que únicamente están afectados quienes utilizasen este códec. Al tratarse de una aplicación de la Store, las ediciones de Windows Server no están afectadas.
Para comprobar si nuestro sistema está afectado, tenemos que ir a Configuración > Aplicaciones y características, seleccionar HEVC y pulsar en Opciones avanzadas. Las versiones que cuentan con el parche son las 1.0.32762.0, 1.0.32763.0 y posteriores.
Ejecución de código malicioso en Visual Studio
La segunda gran vulnerabilidad, etiquetada como CVE-2020-17023, se encuentra en Visual Studio. Microsoft indica que los atacantes pueden introducir código malicioso en los archivos package.json que, al cargarse en Visual Studio, pueden ejecutar este código para infectar el ordenador con cualquier tipo de malware.
En función de los permisos del usuario, el código atacante podría ejecutarse con permisos de administrador y controlar por completo el equipo infectado. Los archivos package.json son especialmente utilizados en proyectos y librerías JavaScript. Este lenguaje y su tecnología de servidor Node.js son de las tecnologías más populares hoy en día.
[…] Fuente […]