Microsoft выпустила обновления для исправления критических уязвимостей в кодеках Windows 10 и Windows Server

2020-07-01 7490 комментарии
Microsoft опубликовала информацию о двух уязвимостях CVE-2020-1425 и CVE-2020-1457 в кодеках Windows, которые затрагивают клиентские и серверные версии Windows 10. Обновления безопасности доступны через Microsoft Store

Обновлено: 06.07.2020: Microsoft обновила описания уязвимостей и добавила к ним подробную информацию. Компания отмечает, что настройки Windows 10 по умолчанию не затронуты, и уязвимостям подвержены только следующие приложения из Microsoft Store: Расширения для видео HEVC и Расширения для видео HEVC от производителя устройства.

Для обновления нужно выполнить команду в PowerShell:

Get-AppxPackage -Name Microsoft.HEVCVideoExtension

Уязвимости были обнаружены в библиотеке кодеков Windows (Microsoft Windows Codecs Library) и связаны с тем, как библиотека обрабатывает объекты в памяти.

Microsoft уже подтвердила проблемы безопасности и обозначила их как уязвимости удаленного выполнения кода с уровнями опасности критическая и важная.

Проблеме подвержены все клиентские версии Windows 10 от Windows 10, версия 1709 до Windows 10, версия 2004 (32-битная, 64-битная и версия для ARM) , а также несколько версий Windows Server, включая Windows Server 2019 и Windows Server, версия 2004.

Реальные случаи эксплуатации уязвимостей не выявлены. Злоумышленники могут создать специальный графический файл для проведения атаки в целевой системе.

Microsoft создала обновления, которые необходимо установить на устройства Windows 10 и Windows Server, чтобы исправить проблему и защитить систему от возможных эксплойтов.

Обновления доставляются на устройства через магазин приложений Microsoft Store. Microsoft отмечает, что обновления будут автоматически устанавливаться на устройствах и что клиентам не нужно предпринимать никаких дополнительных действий.

Администраторы, которые не хотят дожидаться автоматического обновления в системах, могут вручную открыть приложение Microsoft Store и перейти в Меню > Загрузки и обновления и нажать кнопку Получить обновления, чтобы запустить проверку обновлений вручную.

Microsoft Store

На портале Microsoft MSRC размещены ссылки на уязвимости:

  • CVE-2020-1425 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
  • CVE-2020-1457 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
© . По материалам Ghacks

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?