Microsoft lança atualização urgente do Windows para corrigir duas falhas críticas

A Microsoft lançou ontem discretamente atualizações de software fora de banda para corrigir duas vulnerabilidades de segurança de alto risco que afetam centenas de milhões de usuários das edições Windows 10 e Server.

É importante notar que a Microsoft correu para entregar os patches quase duas semanas antes das próximas atualizações mensais da terça-feira, programadas para 14 de julho.

Provavelmente, porque ambas as falhas residem na Biblioteca de Codecs do Windows , um vetor de ataque fácil para as vítimas de engenheiros sociais na execução de arquivos de mídia maliciosos baixados da Internet.

Ler mais:
Novo Vírus alterando DNS e Parando Serviços
Windows 7 não terá mais suporte da Microsoft. O que fazer?
Microsoft quer dificultar a criação e uso de contas locais no Windows
Ministério da saúde apura ataque contra laboratórios de teste para Corona Vírus
Supercomputador da IBM descobre drogas que podem frear a covid-19

Para quem não sabe, o Codecs é uma coleção de bibliotecas de suporte que ajudam o sistema operacional Windows a reproduzir, compactar e descomprimir várias extensões de arquivos de áudio e vídeo.

As duas vulnerabilidades de segurança recém-divulgadas, atribuídas CVE-2020-1425 e CVE-2020-1457 , são bugs de execução remota de código que podem permitir que um invasor execute código arbitrário e controle o computador Windows comprometido.

Segundo a Microsoft, ambas as vulnerabilidades de execução remota de código residem na maneira como a biblioteca de codec do Microsoft Windows lida com objetos na memória.

No entanto, a exploração de ambas as falhas exige que um invasor induza um usuário que esteja executando um sistema Windows afetado a clicar em um arquivo de imagem especialmente criado para ser aberto com qualquer aplicativo que use a Biblioteca de Codecs do Windows.

Das duas, o CVE-2020-1425 é mais crítico, porque a exploração bem-sucedida pode permitir que um invasor colete dados para comprometer ainda mais o sistema do usuário afetado.

A segunda vulnerabilidade, rastreada como CVE-2020-1457, foi classificada como importante e pode permitir que um invasor execute código arbitrário em um sistema Windows afetado.

No entanto, nenhuma das vulnerabilidades de segurança foi relatada como sendo publicamente conhecida ou explorada ativamente na natureza por hackers no momento em que a Microsoft lançou patches de emergência.

Segundo os avisos, ambas as vulnerabilidades foram relatadas à Microsoft por Abdul-Aziz Hariri da Zero Day Initiative da Trend Micro e afetam os seguintes sistemas operacionais:

  • Windows 10 versão 1709
  • Windows 10 versão 1803
  • Windows 10 versão 1809
  • Windows 10 versão 1903
  • Windows 10 versão 1909
  • Windows 10 versão 2004
  • Windows Server 2019
  • Windows Server versão 1803
  • Windows Server versão 1903
  • Windows Server versão 1909
  • Windows Server versão 2004

Como a Microsoft não tem conhecimento de nenhuma solução alternativa ou fator atenuante para essas vulnerabilidades, é altamente recomendável que os usuários do Windows implantem novas correções antes que os invasores comecem a explorar os problemas e comprometer seus sistemas.

No entanto, a empresa está lançando as atualizações de segurança fora de banda por meio da Microsoft Store, para que os usuários afetados sejam atualizados automaticamente sem exigir nenhuma ação adicional.

Como alternativa, se você não quiser esperar mais algumas horas ou um dia, poderá instalar patches imediatamente, verificando se há novas atualizações na Microsoft Store.

Fonte: https://thehackernews.com/2020/07/windows-security-update.html

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!