微軟于6月30日發(fā)布了Windows10 編解碼器庫(kù)(Codecs)中兩個(gè)嚴(yán)重安全漏洞(代號(hào)分別為CVE-2020-1425和CVE-2020-1457)的補(bǔ)丁。這些修復(fù)是計(jì)劃外更新的一部分，是強(qiáng)制性的。它們利用RCE（遠(yuǎn)程代碼執(zhí)行）功能解決了兩個(gè)安全漏洞。這些漏洞同時(shí)影響Windows10客戶端和服務(wù)器版本。以下操作系統(tǒng)受到影響：

Windows 10 version 1709

Windows 10 version 1803

Windows 10 version 1809

Windows 10 version 1903

Windows 10 version 1909

Windows 10 version 2004

Windows Server 2019

Windows Server version 1803

Windows Server version 1903

Windows Server version 1909

Windows Server version 2004

如果您運(yùn)行的是Windows10操作系統(tǒng)，那么您應(yīng)該更新并修補(bǔ)該操作系統(tǒng)，這樣更安全。微軟發(fā)布了兩個(gè)帶外安全更新，用于修補(bǔ)Microsoft Windows編解碼器庫(kù)中的兩個(gè)漏洞。這兩個(gè)漏洞只影響Windows 10和Windows Server 2019發(fā)行版。

在最近發(fā)布的安全警告中，微軟表示，可以通過(guò)一個(gè)特制的圖像文件來(lái)利用這兩個(gè)安全漏洞。發(fā)現(xiàn)安全漏洞的方式是庫(kù)“處理內(nèi)存中的對(duì)象”。被列為關(guān)鍵和重要的安全漏洞可能允許遠(yuǎn)程攻擊者完全控制受害者的計(jì)算機(jī)。這些安全漏洞存在于兩種最常見(jiàn)的圖像編解碼器HEIF和HEVC中。

如果在利用內(nèi)置Windows編解碼器庫(kù)處理多媒體內(nèi)容的應(yīng)用程序中打開(kāi)了格式錯(cuò)誤的圖像，則攻擊者將被允許在Windows計(jì)算機(jī)上運(yùn)行惡意代碼，并可能接管設(shè)備。對(duì)于那些不知道的人來(lái)說(shuō)，Codecs是一個(gè)支持庫(kù)的集合，幫助Windows操作系統(tǒng)播放、壓縮和解壓縮各種音頻和視頻文件擴(kuò)展名。

根據(jù)微軟的說(shuō)法，這兩個(gè)遠(yuǎn)程代碼執(zhí)行漏洞都以Microsoft Windows編解碼器庫(kù)處理內(nèi)存中對(duì)象的方式存在。但是，要同時(shí)利用這兩個(gè)漏洞，攻擊者必須誘使運(yùn)行受影響的Windows系統(tǒng)的用戶單擊特制的圖像文件，該文件設(shè)計(jì)成可與使用內(nèi)置Windows Codec庫(kù)的任何應(yīng)用程序一起打開(kāi)。

其中，CVE-2020-1425更為關(guān)鍵，因?yàn)槌晒迷撀┒纯赡軙?huì)讓攻擊者甚至獲取數(shù)據(jù)，從而進(jìn)一步危害受影響用戶的系統(tǒng)。第二個(gè)漏洞被追蹤為CVE-2020-1457，被認(rèn)為是重要漏洞，可讓攻擊者在受影響的Windows系統(tǒng)上執(zhí)行任意代碼。受影響的客戶無(wú)需采取任何行動(dòng)即可收到更新，因?yàn)樗麄儗⒂晌④浬痰曜詣?dòng)更新?；蛘?，希望立即接收更新的客戶可以使用Microsoft應(yīng)用商店應(yīng)用程序檢查更新。

微軟在每個(gè)月的第二個(gè)星期二（也稱為“補(bǔ)丁星期二”）之外發(fā)布更新并非完全罕見(jiàn)。然而，通常情況下，微軟這樣做是為了應(yīng)對(duì)第三方安全研究人員發(fā)現(xiàn)的漏洞，包括谷歌（Google）等競(jìng)爭(zhēng)對(duì)手發(fā)現(xiàn)的漏洞。微軟說(shuō)，他們沒(méi)有檢測(cè)到任何一個(gè)Windows編解碼器庫(kù)的漏洞正在被利用。