Microsoft выпустила обновления для исправления критических уязвимостей в кодеках Windows 10 и Windows Server

2020-07-01 4448 комментарии
Microsoft опубликовала информацию о двух уязвимостях CVE-2020-1425 и CVE-2020-1457 в кодеках Windows, которые затрагивают клиентские и серверные версии Windows 10. Обновления безопасности доступны через Microsoft Store

Уязвимости были обнаружены в библиотеке кодеков Windows (Microsoft Windows Codecs Library) и связаны с тем, как библиотека обрабатывает объекты в памяти.

Microsoft уже подтвердила проблемы безопасности и обозначила их как уязвимости удаленного выполнения кода с уровнями опасности критическая и важная.

Проблеме подвержены все клиентские версии Windows 10 от Windows 10, версия 1709 до Windows 10, версия 2004 (32-битная, 64-битная и версия для ARM) , а также несколько версий Windows Server, включая Windows Server 2019 и Windows Server, версия 2004.

Реальные случаи эксплуатации уязвимостей не выявлены. Злоумышленники могут создать специальный графический файл для проведения атаки в целевой системе.

Microsoft создала обновления, которые необходимо установить на устройства Windows 10 и Windows Server, чтобы исправить проблему и защитить систему от возможных эксплойтов.

Обновления доставляются на устройства через магазин приложений Microsoft Store. Microsoft отмечает, что обновления будут автоматически устанавливаться на устройствах и что клиентам не нужно предпринимать никаких дополнительных действий.

Администраторы, которые не хотят дожидаться автоматического обновления в системах, могут вручную открыть приложение Microsoft Store и перейти в Меню > Загрузки и обновления и нажать кнопку Получить обновления, чтобы запустить проверку обновлений вручную.

Microsoft Store

На портале Microsoft MSRC размещены ссылки на уязвимости:

  • CVE-2020-1425 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
  • CVE-2020-1457 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код

Недостаток информации – тоже проблема

Microsoft не раскрывает название обновлений, созданных для решения проблемы безопасности. Быстрая проверка на тестовом устройстве Windows 10, версия 2004 вернула обновления для компонентов Расширения для изображений HEIF и Расширения для видео HEVC от производителя устройства. Неясно, являются ли они исправлениями, о которых говорит Microsoft, или компания еще не выпустила обновления безопасности для широкого круга пользователей.

Microsoft должна предоставить дополнительную информацию. Неясно, как администраторы могут проверить, установлены ли обновления на устройствах или нет. Информация о характере уязвимости, например, какие форматы изображения затрагиваются, также была бы крайне полезной.

Наконец, обновление через Microsoft Store исключает возможность получения обновлений системами, в которых Microsoft Store был удален или отключен.

Мы будем следить за информацией и дополним статью, когда станут доступны подробности об исправлении обнаруженных уязвимостей в Windows Codecs Library.

© . По материалам Ghacks

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?