Technologie : Deux bugs d’exécution de code à distance (RCE – remote code execution) ont été corrigés dans la bibliothèque de codecs Windows et dans le code de Visual Studio.

Par

Catalin Cimpanu

|
Modifié le lundi 19 oct. 2020 à 07:07

Microsoft a publié deux mises à jour de sécurité hors bande afin de résoudre les problèmes de sécurité de la bibliothèque de codecs Windows et de l’application Visual Studio Code. Les deux mises à jour arrivent après que la société a publié son lot mensuel de mises à jour de sécurité mardi dernier, en corrigeant 87 vulnérabilités ce mois-ci.

Ces deux nouvelles vulnérabilités sont des failles « d’exécution de code à distance », qui pourraient permettre à des attaquants d’exécuter du code sur les systèmes concernés.

Le premier bug est suivi sous le nom de CVE-2020-17022. D’après Microsoft, des attaquants pourraient créer des images malveillantes qui, lorsqu’elles sont traitées par une application fonctionnant sous Windows, leur permettraient d’exécuter du code sur un système d’exploitation Windows non patché.

Toutes les versions de Windows 10 sont concernées. Microsoft a précisé qu’une mise à jour de cette bibliothèque sera automatiquement installée sur les systèmes des utilisateurs via le Microsoft Store.

Tous les utilisateurs ne sont pas concernés, mais seulement ceux qui ont installé les codecs média optionnels HEVC ou “HEVC from Device Manufacturer” du Microsoft Store. HEVC n’est pas disponible pour une distribution hors ligne et est uniquement disponible via le Microsoft Store. La bibliothèque n’est pas non plus prise en charge sur Windows Server.

Pour vérifier et voir si un codec HEVC vulnérable est utilisé, les utilisateurs doivent se rendre dans les Paramètres > Applications et Fonctionnalités et sélectionner HEVC > Options avancées. Les versions sécurisées sont 1.0.32762.0, 1.0.32763.0 et ultérieures.

La deuxième faille de sécurité est suivie sous le nom de CVE-2020-17023. D’après Microsoft, des attaquants pourraient créer des fichiers .json de paquets malveillants qui, lorsqu’ils sont chargés dans le code de Visual Studio, pourraient exécuter du code malveillant.

Selon les autorisations de l’utilisateur, le code d’un attaquant pourrait s’exécuter avec les privilèges d’un administrateur et lui permettre de contrôler totalement un hôte infecté. Les fichiers Package.json sont régulièrement utilisés avec les bibliothèques et projets JavaScript. JavaScript, et en particulier sa technologie Node.js côté serveur, est l’une des technologies les plus populaires aujourd’hui.

Il est conseillé aux utilisateurs de Visual Studio Code de mettre à jour l’application dès que possible avec la dernière version.

Avec aussi la cryptomonnaie nationale chinoise et le boom des ventes de PC.

Sujet:
Microsoft
Windows
Le coin des Dev’
Cybersécurité

Par

Catalin Cimpanu

|
Modifié le lundi 19 oct. 2020 à 07:07

Health Data Hub : pas de risque zéro en matière de transfert des données outre-Atlantique, selon le Conseil d’Etat

Recevez le meilleur de l’actualité IT Pro chaque jour dans votre boîte mail

Nous sommes temporairement en mode de maintenance, ce qui signifie que vous ne serez pas en mesure de s’inscrire à une newsletter. S’il vous plaît vérifier à nouveau peu de temps pour reprendre le processus d’abonnement. Merci pour votre patience.

Découvrez notre dossier

Nous accompagnons les PME dans leur développement IT. Nous partageons avec vous nos témoignages clients, webinars, livres blancs…
5 dossiers IT à découvrir chaque mois

Préservez votre trésorerie et votre capacité d’investissement avec une offre de services à la carte, payés à l’usage
Inscrivez-vous au webinaire

Découvrez nos solutions

Copyright © 2020 CBS Interactive Inc, CUP Interactive SAS (France). Tous droits réservés. Mentions légales | Confidentialité | Cookies | Paramètres de Gestion de la Confidentialité

Source: https://www.zdnet.fr/actualites/microsoft-publie-des-mises-a-jour-de-securite-d-urgence-pour-windows-et-visual-studio-39911533.htm

Microsoft Visual Studio

World news – FR – Microsoft publie des mises à jour de sécurité d’urgence pour Windows et Visual Studio

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/

LEAVE A REPLY

Please enter your comment!
Please enter your name here