微软昨天发布了一个安全更新,以修复Windows Codecs库中的两个漏洞。该公司已通过Microsoft Store将这些更新提供给受影响的Windows 10和Windows Server的所有受支持版本。
在CVE-2020-1457和CVE-2020-1425下跟踪的漏洞是编解码器库中存在的错误,这些错误处理内存中的对象。利用这些缺陷,攻击者可以“执行任意代码”或从受害机器中获取更多信息。当用户设备对特制图像文件进行“处理”时,可以利用这两个安全漏洞,然后攻击者就可以控制设备并执行恶意操作。
当前,没有针对这些漏洞的已知解决方法或缓解措施。值得庆幸的是,雷德蒙德补充说,这些缺陷没有被公开披露,并且没有已知的漏洞利用。该公司将趋势科技的“零日行动”归功于其私下披露漏洞的原因。
必须注意,针对这些已知安全威胁的修复程序已通过Microsoft Store(而非Windows Update)通过对编解码器的更新进行了部署。该公司表示,客户无需采取任何特定措施即可接收更新。