聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
周二,微软发布两个带外安全更新,修复了 Windows Codecs Library中的两个漏洞CVE-2020-1425 和 CVE-2020-1457。
微软在安全公告中并未提供关于任何攻击向量的具体详情,但表示攻击者可借助一个特殊构造的图像文件利用这两个漏洞。如果在使用内置 Windows Codecs Library 处理多媒体内容的 app 中打开恶意图像,则攻击者能够在 Windows 计算机中运行恶意代码并可能接管设备。
这两个漏洞均与受影响的 Windows 组件处理内存对象的方式有关,CVSS 评分均为7.3,不过微软表示,CVE-2020-1425 为“严重”级别而CVE-2020-1457 为“高危”级别。第一个漏洞可导致攻击者收割数据以便进一步攻陷系统;而第二个漏洞可导致任意代码执行后果。
这两个漏洞影响如下版本:
Windows 10 版本1709、1803、1809、1903、1909 和2004(32位系统和64位系统)
基于 ARM64 的系统
Windows Server 2019
Windows Server 版本1709、1903和2004 (Server CoreInstallation)
微软已修复上述两个 RCE 漏洞,并通过 Windows Codecs library 更新将补丁部署到客户系统。用户可在 Windows Store app (而非 Windows Update 机制中)获取补丁。
据悉,这两个漏洞首先是由 Abdul-Aziz Hariri 私下告知微软的,之后这名研究员所在的趋势科技 ZDI 团队向微软提交漏洞报告。
微软表示,不存在应变措施或缓解措施,同时也并未发现遭在野利用的迹象。
推荐阅读
奇安信代码卫士帮助微软修复多个高危漏洞,获官方致谢
微软推出 Azure Sphere 漏洞奖励计划,最高奖金10万美元
微软反向 RDP 漏洞补丁不当,第三方 RDP 客户端易受攻击
原文链接
https://www.zdnet.com/article/microsoft-releases-emergency-security-update-to-fix-two-bugs-in-windows-codecs/
https://www.securityweek.com/windows-codecs-library-vulnerabilities-allow-remote-code-execution
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
