Microsoft lança actualizações para tapar buracos de segurança do Windows e suspende instalação de web apps do Office

HEVC

A Microsoft lançou duas actualizações para resolver dois problemas de segurança no Windows relacionados com a biblioteca de codecs e com o ambiente de desenvolvimento Visual Studio.

O problema de segurança na biblioteca de codecs, que tem a referência CVE-2020-17022 inclui uma vulnerabilidade que permite a atacantes tomar conta de um sistema totalmente. Os utilizadores são enganados para carregar ficheiros de imagem modificados através aplicações nativas. De seguida é lançado um ataque que afecta pontos-chave da memória RAM que permite ao atacante ficar a controlar totalmente o computador.

A Microsoft pediu aos utilizadores que tenham instalado o High Efficiency Video Codec (HEVC) para permitir as actualizações através da Microsoft Store para resolver este problema. Os utilizadores podem confirmar que a actualização foi feita acedendo a ‘Definições’, ‘Aplicações’, Funcionalidades adicionais’ e depois seleccionando ‘HEVC’. Pode ver a versão instalada, clicando em ‘Opções avançadas’. Apenas as versões 1.0.32762.0 e 1.932763.0, ou posteriores não têm esta vulnerabilidade. 

Na segunda actualização, a vulnerabilidade relacionada com o Visual Studio, com a referência CVE-202-17023 permite também tomar conta de um computador. Isto é conseguido convencendo os utilizadores a abrem um ficheiro JSON malicioso. Assim que o ficheiro é carregado no Visual Studio, os hackers ficam a controlar completamente o computador.

As actualizações CVE-2020-17022 e CVE-2020-17023 chegam imediatamente antes da actualização de Outubro 2020 que resolveu 87 problemas de segurança em 12 funcionalidades do sistema operativo.

A Microsoft também resolveu o problema da instalação indevida de aplicações Web do Microsoft Office sem que os utilizador se apercebesse, nem pedisse, dizendo que foi um problema com um erro no novo browser Edge, que em vez de criar atalhos para as aplicações, instalava-as nos computadores. Os testes com esta funcionalidade também foram suspensos indefinidamente.