Microsoft udsteder rettelser til at rette to 'kritiske' sikkerhedsfejl i Windows Codecs-biblioteket

Microsoft har frigivet patches til to seriøse sikkerhedssårbarheder i Windows 10 codecs-biblioteket. Disse rettelser er en del af ikke-planlagte opdateringer og er obligatoriske. De løser to sikkerhedsfejl med RCE (Remote Code Execution) -funktioner. Fejlene påvirker både Windows 10-klient- og serverversioner.

Microsoft offentliggjorde detaljer om to nyligt opdagede sikkerhedsproblemer i Windows Codec-biblioteket. Sikkerhedshullerne blev fundet på den måde, at biblioteket ”håndterer objekter i hukommelsen”. Opført som kritisk og vigtigt kan sikkerhedssårbarheder muligvis give fjernangribere mulighed for at tage fuld kontrol over offerets computer.

Microsoft løser stille to sikkerhedssårbarheder mærket 'kritisk' og 'vigtigt' med RCE-potentiale:

Microsoft bekræftede, at sikkerhedsproblemerne blev mærket og sporet som "CVE-2020-1425" og "CVE-2020-1457". Disse sikkerhedsfejl var inde i de to mest almindelige billedkodeks “HEIF” og “HEVC”. Virksomheden definerede sårbarhederne som en ekstern sårbarhed med kodeudførelse med sværhedsgraden kritisk og vigtig.

De usikre versioner blev inkluderet i Windows 10-operativsystemet siden Windows 10 version 1709 og kunne også findes i nogle Windows Server-versioner. Derudover var der mangler i alle versioner af Windows 10, der blev frigivet efter v1709, inklusive 32-bit, 64-bit og ARM-versioner. I tilfælde af Windows 10 Server var de berørte versioner Windows Server 2019 og Windows Server version 2004 Core-installation.

Microsoft forsikrer, at ingen af ​​sikkerhedsfejlene blev udnyttet i naturen. Med andre ord hævder virksomheden at have adresseret og patched sårbarhederne, før et ondsindet agentur var i stand til at udnytte sikkerhedsfejlene. I øvrigt var disse sikkerhedsmangler efter sigende enkle at udnytte. En angriber havde simpelthen behov for at oprette en specielt udformet billedfil og få den åbnet på et målsystem for at udnytte sårbarheden.

Ingen sikkerhedsbeskyttelse mod sikkerhedsfejl i Windows Codec-bibliotek, men obligatoriske opdateringer på vej:

Der var ingen løsninger eller afbødninger af sikkerhedsrisiciene. Imidlertid var de ikke nødvendige, da Microsoft har oprettet en opdatering, der skal installeres på Windows 10 og Windows 10 Server-enheder for at rette problemet og beskytte systemer mod fremtidige potentielle udnyttelser.

Microsoft har skubbet en ud af den rutinemæssige eller ikke-planlagte opdatering for at løse sikkerhedsfejlene. Opdateringen skubbes til enheder gennem en Microsoft Store-opdatering. Virksomheden bemærker, at opdateringer automatisk ankommer til Windows 10-enheder, og OS-brugerne ikke behøver at foretage sig noget i den henseende. Administratorer kan åbne Microsoft Store-applikationen manuelt, vælge Menu> Downloads og opdateringer og klikke på knappen "Hent opdateringer" for at køre en manuel søgning efter opdateringer. Dette skal hurtigere spore installationen af ​​patches.

Facebook Twitter Google Plus Pinterest