微軟于6月30日發(fā)布了Windows10 編解碼器庫(Codecs)中兩個嚴(yán)重安全漏洞(代號分別為CVE-2020-1425和CVE-2020-1457)的補丁。這些修復(fù)是計劃外更新的一部分，是強制性的。它們利用RCE（遠程代碼執(zhí)行）功能解決了兩個安全漏洞。這些漏洞同時影響Windows10客戶端和服務(wù)器版本。以下操作系統(tǒng)受到影響：

Windows 10 version 1709

Windows 10 version 1803

Windows 10 version 1809

Windows 10 version 1903

Windows 10 version 1909

Windows 10 version 2004

Windows Server 2019

Windows Server version 1803

Windows Server version 1903

Windows Server version 1909

Windows Server version 2004

如果您運行的是Windows10操作系統(tǒng)，那么您應(yīng)該更新并修補該操作系統(tǒng)，這樣更安全。微軟發(fā)布了兩個帶外安全更新，用于修補Microsoft Windows編解碼器庫中的兩個漏洞。這兩個漏洞只影響Windows 10和Windows Server 2019發(fā)行版。

在最近發(fā)布的安全警告中，微軟表示，可以通過一個特制的圖像文件來利用這兩個安全漏洞。發(fā)現(xiàn)安全漏洞的方式是庫“處理內(nèi)存中的對象”。被列為關(guān)鍵和重要的安全漏洞可能允許遠程攻擊者完全控制受害者的計算機。這些安全漏洞存在于兩種最常見的圖像編解碼器HEIF和HEVC中。

如果在利用內(nèi)置Windows編解碼器庫處理多媒體內(nèi)容的應(yīng)用程序中打開了格式錯誤的圖像，則攻擊者將被允許在Windows計算機上運行惡意代碼，并可能接管設(shè)備。對于那些不知道的人來說，Codecs是一個支持庫的集合，幫助Windows操作系統(tǒng)播放、壓縮和解壓縮各種音頻和視頻文件擴展名。

根據(jù)微軟的說法，這兩個遠程代碼執(zhí)行漏洞都以Microsoft Windows編解碼器庫處理內(nèi)存中對象的方式存在。但是，要同時利用這兩個漏洞，攻擊者必須誘使運行受影響的Windows系統(tǒng)的用戶單擊特制的圖像文件，該文件設(shè)計成可與使用內(nèi)置Windows Codec庫的任何應(yīng)用程序一起打開。

其中，CVE-2020-1425更為關(guān)鍵，因為成功利用該漏洞可能會讓攻擊者甚至獲取數(shù)據(jù)，從而進一步危害受影響用戶的系統(tǒng)。第二個漏洞被追蹤為CVE-2020-1457，被認(rèn)為是重要漏洞，可讓攻擊者在受影響的Windows系統(tǒng)上執(zhí)行任意代碼。受影響的客戶無需采取任何行動即可收到更新，因為他們將由微軟商店自動更新?；蛘?，希望立即接收更新的客戶可以使用Microsoft應(yīng)用商店應(yīng)用程序檢查更新。

微軟在每個月的第二個星期二（也稱為“補丁星期二”）之外發(fā)布更新并非完全罕見。然而，通常情況下，微軟這樣做是為了應(yīng)對第三方安全研究人員發(fā)現(xiàn)的漏洞，包括谷歌（Google）等競爭對手發(fā)現(xiàn)的漏洞。微軟說，他們沒有檢測到任何一個Windows編解碼器庫的漏洞正在被利用。