El usuario quedó desconcertado después de que Windows 10 recibió un par de correcciones de seguridad importantes para algunos defectos importantes en los códecs de medios de Windows.
Sin embargo, en lugar del canal típicamente utilizado de Windows Update, Microsoft lanzó estas actualizaciones a través de Microsoft Store, lo que confundió a muchos usuarios en el proceso.
De hecho, ha habido muchas dudas sobre ambas soluciones para problemas graves relacionados con los códecs, que se lanzaron fuera de banda (es decir, no en el programa de parche de seguridad mensual típico de Microsoft).
Las vulnerabilidades son CVE-2020-1425 y CVE-2020-1457, como destaca Ask Woody, y potencialmente permiten a un atacante «obtener información para comprometer aún más el sistema del usuario», o ejecutar código arbitrario, respectivamente.
Se pueden explotar a través de un «archivo de imagen especialmente diseñado» y, como señala Microsoft, estas actualizaciones corrigen la situación al corregir cómo la Biblioteca de códecs de Windows maneja los objetos en la memoria.
Como informa Ask Woody, la aparición de estas correcciones de seguridad preocupaba a algunas personas que se preguntaban exactamente por qué los parches solo se ofrecían a los clientes de Windows 10 a través de Microsoft Store, en lugar de usar Windows Update como se mencionó.
La respuesta de Microsoft es que el paquete de códec HEVC afectado es un componente opcional que se puede descargar de la Tienda Microsoft (o puede obtener una aplicación que lo requiera).
En otras palabras, no se incluye con Windows 10 de manera predeterminada, por lo tanto, Microsoft no usa Windows Update para su distribución.
Contenido
Confusión de Windows 10
Sin embargo, ha habido bastante confusión, porque las imágenes HEIC (la ruta de explotación, como se mencionó, es a través de un archivo de imagen especialmente diseñado) parecen estar presentes en los sistemas Windows 10, y no está claro si eso podría ser problemático en sí mismo.
Presumiblemente no, dada la postura de Microsoft aquí, pero Bleeping Computer, que también informó sobre este tema, preguntó al investigador de Zero Day Initiative Abdul-Aziz Hariri, quien encontró estas vulnerabilidades, si las imágenes HEIC podrían ser un agujero de seguridad en sí mismas, y Hariri dijo que él » no estaba seguro de si también estaban parcheados «.
Entonces, puede ver cómo el desconcierto y la preocupación están llegando aquí, y esto se ve agravado por otro problema, a saber, que algunos usuarios pueden no recibir la actualización automáticamente a través de Microsoft Store como deberían hacerlo, porque la organización en la que están empleados ha deshabilitado la tienda (o al menos las actualizaciones automáticas de la tienda).
Además, además de eso, algunos de los que están instalando el parche desde la tienda de Microsoft están presenciando que falla con un error de «acceso denegado».
Acerca del autor
