Si vous possédez un PC Windows ainsi qu’un iPhone récent, le gouvernement américain souhaite que vous ouvriez le Windows Store dès aujourd’hui et que vous vous assuriez de disposer de la version la plus récente du codec vidéo HEVC.
Le gouvernement américain (en particulier la Cybersecurity and Infrastructure Security Agency) a averti que la bibliothèque de codecs Microsoft Windows comprend une vulnérabilité qui affecte la façon dont elle gère les objets stockés en mémoire. Plus précisément, un fichier image spécialement conçu peut être utilisé pour prendre en charge à distance votre machine à moins que votre PC ne soit corrigé.
De nombreuses attaques contre des PC nécessitent un accès local ou la présence réelle d’un méchant assis à votre clavier. Ce qui inquiète le CISA américain, c’est la présence d’un fichier HEVC spécialement conçu pour prendre le contrôle de votre PC. Et ce n’est pas une menace vaine; Nos collègues de Macworld rapportent que l’enregistrement vidéo à l’aide de HEVC se produit par défaut sur iOS 11 et versions ultérieures, ce qui signifie que vous ne serez probablement pas méfiant d’une vidéo HEVC jointe à un e-mail ou sur Internet.
Si vous ne possédez pas d’iPhone, il y a de fortes chances que vous ne soyez pas vulnérable. Vous devez avoir téléchargé les codecs multimédias facultatifs HEVC ou «HEVC du fabricant de l’appareil» à partir du Microsoft Store pour être vulnérable.
Pour corriger le problème, vous devrez également télécharger le codec mis à jour à partir du Store. Les versions corrigées du codec incluent les versions 1.0.32762.0, 1.0.32763.0 et ultérieures. Pour vérifier si vous disposez de la version mise à jour, allez dans le menu Paramètres de Windows 10, puis dans Applications et fonctionnalités puis à HEVC, et Options avancées. Vous y verrez le numéro de version. Vous pouvez également lancer PowerShell à partir de Windows et saisir la commande suivante pour voir également le numéro de version:
Get-AppxPackage -Name Microsoft.HEVCVideoExtension*
US CISA avertit également qu’une seconde vulnérabilité non liée s’applique à Visual Studio et à un fichier JSON mal formé. Bien que Visual Studio ne s’applique généralement qu’aux développeurs, si vous êtes un utilisateur de ce programme, vous devrez vous méfier des fichiers JSON jusqu’à ce que Microsoft développe un correctif.