Arrivano due aggiornamenti fuori ciclo per Windows 10, sistema operativo più problematico che mai che ora può essere compromesso anche con la visualizzazione di una semplice immagine appositamente preparata. Per le falle in oggetto non esistono scappatoie: occorre aggiornare. Anche se il mezzo di distribuzione delle patch è insolito ancorché perfettamente giustificato.
Microsoft distribuisce gli aggiornamenti fuori ciclo per Windows 10 solo quando il problema è sufficientemente grave da non consigliare l’attesa per l’arrivo del prossimo Patch Tuesday mensile. E le due falle del momento sono invero gravi, visto che potrebbero portare all’esecuzione di codice malevolo da remoto (CVE-2020-1457) o alla compromissione del sistema (CVE-2020-1425).
L’origine del problema è la stessa per entrambe i bug, ovvero il componente Windows Codecs Library (WCL) che si incarica (tramite la libreria hevcdecoder_store.dll) di processare le immagini HEIC basate sul codec HEVC. Basta in teoria visualizzare un’immagine “malformata” per violare una qualsiasi versione di Windows 10 (dalla 1709 in su), avverte Microsoft, e non esistono scappatoie o mitigazioni di sorta.
L’unica soluzione alle due falle (una importante, l’altra critica) è l’aggiornamento del codec in oggetto, un update che dovrebbe essere già avvenuto tramite lo Store di Windows. Un canale insolito, per la distribuzione di due patch di sicurezza, che si giustifica col fatto che il codec WCL va scaricato proprio tramite Store. In alternativa all’update automatico è possibile procedere per via manuale.