周二,微软发布两个带外安全更新,修复了 Windows Codecs Library中的两个漏洞CVE-2020-1425 和 CVE-2020-1457。
微软在安全公告中并未提供关于任何攻击向量的具体详情,但表示攻击者可借助一个特殊构造的图像文件利用这两个漏洞。如果在使用内置 Windows Codecs Library 处理多媒体内容的 app 中打开恶意图像,则攻击者能够在 Windows 计算机中运行恶意代码并可能接管设备。这两个漏洞均与受影响的 Windows 组件处理内存对象的方式有关,CVSS 评分均为7.3,不过微软表示,CVE-2020-1425 为“严重”级别而CVE-2020-1457 为“高危”级别。第一个漏洞可导致攻击者收割数据以便进一步攻陷系统;而第二个漏洞可导致任意代码执行后果。微软已修复上述两个 RCE 漏洞,并通过 Windows Codecs library 更新将补丁部署到客户系统。用户可在 Windows Store app (而非 Windows Update 机制中)获取补丁。据悉,这两个漏洞首先是由 Abdul-Aziz Hariri 私下告知微软的,之后这名研究员所在的趋势科技 ZDI 团队向微软提交漏洞报告。微软表示,不存在应变措施或缓解措施,同时也并未发现遭在野利用的迹象。
https://www.zdnet.com/article/microsoft-releases-emergency-security-update-to-fix-two-bugs-in-windows-codecs/https://www.securityweek.com/windows-codecs-library-vulnerabilities-allow-remote-code-execution
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~