CVE-2020-1457
<strong>\[Mise à jour du 03 juillet 2020\] </strong> Microsoft a mis à jour ses avis pour indiquer que les versions Server de Windows ne sont pas vulnérables. De même, comme les composants vulnérables sont uniquement disponibles par le Windows Store, tout système bloquant celui-ci n'est pas vulnérable. <strong>\[Publication initiale\]</strong> Le 30 juin 2020 Microsoft a publié un correctif de sécurité en avance de phase sur son cycle mensuel. Ce correctif concerne deux vulnérabilités, identifiées par CVE-2020-1425 et CVE-2020-1457. Celles-ci se situent dans la bibliothèque de Codecs de Windows et permettent une exécution de code arbitraire à distance. Ces vulnérabilités s'exploitent lorsqu'un attaquant arrive à faire charger une image piégée par un système affecté<s>, que ce soit un poste client ou un serveur</s>. Microsoft indique qu'il n'existe pas de mesure de contournement pour ces deux vulnérabilités et que les systèmes vulnérables seront mis à jour de manière automatisée. Il est possible de mettre à jour manuellement en passant par le Microsoft Store.
EPSS 16.67% · 95.1th percentile
Risk Scores
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Microsoft | Windows |
Timeline
- Jul 1, 2020 CVE Published
- Apr 14, 2021 EPSS Score
- Aug 24, 2021 EPSS Score
- Dec 27, 2021 EPSS Score
- Feb 4, 2022 EPSS Score
- Feb 12, 2022 EPSS Score
- Apr 1, 2022 EPSS Score
- Jul 3, 2022 EPSS Score
- Nov 6, 2022 EPSS Score
- Mar 11, 2023 EPSS Score
- Apr 12, 2023 EPSS Score
- May 23, 2023 EPSS Score
References
- https://cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-013/ advisory
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1425 advisory
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1457 advisory
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-400/ advisory