Technology : Deux bugs d’exécution de code à distance (RCE – remote code execution) ont été corrigés dans la bibliothèque de codecs Windows et dans le code de Visual Studio.

By

Catalin Cimpanu

|
Modifié le lundi 19 oct. 2020 at 07:07

Microsoft a publié deux mises à jour de sécurité hors bande afin de résoudre les problèmes de sécurité de la bibliothèque de codecs Windows et de l’application Visual Studio Code. Les deux mises à jour arrivent après que la société a publié son lot mensuel de mises à jour de sécurité mardi dernier, en corrigeant 87 vulnérabilités ce mois-ci.

Ces deux nouvelles vulnérabilités sont des failles « d’exécution de code à distance », qui pourraient permettre à des attaquants d’exécuter du code sur les systèmes concernés.

Le premier bug est suivi sous le nom de CVE-2020-17022. D’après Microsoft, des attaquants pourraient créer des images malveillantes qui, lorsqu’elles sont traitées par une application fonctionnant sous Windows, leur permettraient d’exécuter du code sur un système d’exploitation Windows non patché.

Toutes les versions de Windows 10 sont concernées. Microsoft a précisé qu’une mise à jour de cette bibliothèque sera automatiquement installée sur les systèmes des utilisateurs via le Microsoft Store.

Tous les utilisateurs ne sont pas concernés, mais seulement ceux qui ont installé les codecs média optionnels HEVC ouHEVC from Device Manufacturerdu Microsoft Store. HEVC n’est pas disponible pour une distribution hors ligne et est uniquement disponible via le Microsoft Store. La bibliothèque n’est pas non plus prise en charge sur Windows Server.

Pour vérifier et voir si un codec HEVC vulnérable est utilisé, les utilisateurs doivent se rendre dans les Paramètres > Applications et Fonctionnalités et sélectionner HEVC > Options avancées. Les versions sécurisées sont 1.0.32762.0, 1.0.32763.0 et ultérieures.

La deuxième faille de sécurité est suivie sous le nom de CVE-2020-17023. D’après Microsoft, des attaquants pourraient créer des fichiers .json de paquets malveillants qui, lorsqu’ils sont chargés dans le code de Visual Studio, pourraient exécuter du code malveillant.

Selon les autorisations de l’utilisateur, le code d’un attaquant pourrait s’exécuter avec les privilèges d’un administrateur et lui permettre de contrôler totalement un hôte infecté. Les fichiers Package.json sont régulièrement utilisés avec les bibliothèques et projets JavaScript. JavaScript, et en particulier sa technologie Node.js côté serveur, est l’une des technologies les plus populaires aujourd’hui.

Il est conseillé aux utilisateurs de Visual Studio Code de mettre à jour l’application dès que possible avec la dernière version.

Avec aussi la cryptomonnaie nationale chinoise et le boom des ventes de PC.

Topic:
Microsoft
Windows
Le coin des Dev
Cybersecurity

By

Catalin Cimpanu

|
Modifié le lundi 19 oct. 2020 at 07:07

Health Data Hub : pas de risque zéro en matière de transfert des données outre-Atlantique, selon le Conseil d’Etat

Get the best IT Pro news every day in your mailbox

We are temporarily in maintenance mode, which means you will not be able to subscribe to a newsletter. Please check back shortly to resume the subscription process. thank you for your patience.

Discover our file

We support SMEs in their IT development. We share our customer stories with you, webinars, white papers…
5 IT files to discover each month

Préservez votre trésorerie et votre capacité d’investissement avec une offre de services à la carte, payés à l’usage
Inscrivez-vous au webinaire

Découvrez nos solutions

Copyright © 2020 CBS Interactive Inc, CUP Interactive SAS (France). All rights reserved. Legal Notice | Confidentiality | Cookies | Privacy Management Settings

Source: https://www.zdnet.fr/actualites/microsoft-publie-des-mises-a-jour-de-securite-d-urgence-pour-windows-et-visual-studio-39911533.htm

Microsoft Visual Studio

World news – FR – Microsoft releases emergency security updates for Windows and Visual Studio

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/

LEAVE A REPLY

Please enter your comment!
Please enter your name here