周二,微软发布两个带外安全更新,修复了 Windows Codecs Library中的两个漏洞CVE-2020-1425 和 CVE-2020-1457。
微软在安全公告中并未提供关于任何攻击向量的具体详情,但表示攻击者可借助一个特殊构造的图像文件利用这两个漏洞。如果在使用内置 Windows Codecs Library 处理多媒体内容的 app 中打开恶意图像,则攻击者能够在 Windows 计算机中运行恶意代码并可能接管设备。
这两个漏洞均与受影响的 Windows 组件处理内存对象的方式有关,CVSS 评分均为7.3,不过微软表示,CVE-2020-1425 为“严重”级别而CVE-2020-1457 为“高危”级别。第一个漏洞可导致攻击者收割数据以便进一步攻陷系统;而第二个漏洞可导致任意代码执行后果。
这两个漏洞影响如下版本:
Windows 10 版本1709、1803、1809、1903、1909 和2004(32位系统和64位系统)
基于 ARM64 的系统
Windows Server 2019
Windows Server 版本1709、1903和2004 (Server CoreInstallation)
微软已修复上述两个 RCE 漏洞,并通过 Windows Codecs library 更新将补丁部署到客户系统。用户可在 Windows Store app (而非 Windows Update 机制中)获取补丁。
据悉,这两个漏洞首先是由 Abdul-Aziz Hariri 私下告知微软的,之后这名研究员所在的趋势科技 ZDI 团队向微软提交漏洞报告。
微软表示,不存在应变措施或缓解措施,同时也并未发现遭在野利用的迹象。
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
