Обновлено: 06.07.2020: Microsoft обновила описания уязвимостей и добавила к ним подробную информацию. Компания отмечает, что настройки Windows 10 по умолчанию не затронуты, и уязвимостям подвержены только следующие приложения из Microsoft Store: Расширения для видео HEVC и Расширения для видео HEVC от производителя устройства.
Для обновления нужно выполнить команду в PowerShell:
Get-AppxPackage -Name Microsoft.HEVCVideoExtension
Уязвимости были обнаружены в библиотеке кодеков Windows (Microsoft Windows Codecs Library) и связаны с тем, как библиотека обрабатывает объекты в памяти.
Microsoft уже подтвердила проблемы безопасности и обозначила их как уязвимости удаленного выполнения кода с уровнями опасности критическая и важная.
Проблеме подвержены все клиентские версии Windows 10 от Windows 10, версия 1709 до Windows 10, версия 2004 (32-битная, 64-битная и версия для ARM) , а также несколько версий Windows Server, включая Windows Server 2019 и Windows Server, версия 2004.
Реальные случаи эксплуатации уязвимостей не выявлены. Злоумышленники могут создать специальный графический файл для проведения атаки в целевой системе.
Microsoft создала обновления, которые необходимо установить на устройства Windows 10 и Windows Server, чтобы исправить проблему и защитить систему от возможных эксплойтов.
Обновления доставляются на устройства через магазин приложений Microsoft Store. Microsoft отмечает, что обновления будут автоматически устанавливаться на устройствах и что клиентам не нужно предпринимать никаких дополнительных действий.
Администраторы, которые не хотят дожидаться автоматического обновления в системах, могут вручную открыть приложение Microsoft Store и перейти в Меню > Загрузки и обновления и нажать кнопку Получить обновления, чтобы запустить проверку обновлений вручную.
На портале Microsoft MSRC размещены ссылки на уязвимости:
- CVE-2020-1425 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
- CVE-2020-1457 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
Последние статьи #Windows
• Phison: данные о сбоях SSD из-за обновлений Windows 11 не воспроизвелись в тестах
• Microsoft улучшит качество звука в Windows 11 с «суперширокополосным стерео» Bluetooth LE Audio
• Обновление Windows Terminal 1.23: масштабное обновление с новой архитектурой окон и улучшенной настройкой
• Обновление KB5064080 (Build 22631.5840) Preview для Windows 11, версия 23H2
• Обновление KB5063842 (Build 19045.6282) Preview для Windows 10, версия 22H2
• Microsoft представила VM Conversion — инструмент для миграции виртуальных машин VMware в Hyper-V