让信息安全
变得简单

微软发布紧急Windows更新以修补两个关键缺陷

Windows安全更新

微软昨天悄悄发布了带外软件更新,以修补两个影响数亿Windows 10和Server版本用户的高风险安全漏洞。

值得一提的是,微软赶在即将于7月14日发布的每月“补丁星期二更新”之前将近两周交付补丁。

这可能是因为这两个漏洞都存在于Windows编解码器库中Windows编解码器库是社交工程师受害者进入从Internet下载的恶意媒体文件运行时的容易攻击载体。

对于那些不知道的人,编解码器是一组支持库,可帮助Windows操作系统播放,压缩和解压缩各种音频和视频文件扩展名。

这两个新公开的安全漏洞(分别为CVE-2020-1425CVE-2020-1457)都是远程执行代码错误,可以使攻击者执行任意代码并控制受感染的Windows计算机。

根据Microsoft的说法,这两个远程代码执行漏洞都以Microsoft Windows编解码器库处理内存中对象的方式存在。

但是,要充分利用这两个缺陷,攻击者必须诱使运行受影响Windows系统的用户单击经特殊设计的图像文件,该文件设计成可与使用内置Windows Codec库的任何应用程序一起打开。

在这两者中,CVE-2020-1425更为关键,因为成功的利用可能使攻击者甚至可以收集数据来进一步破坏受影响的用户的系统。

第二个漏洞被跟踪为CVE-2020-1457,被评为重要,并且可能允许攻击者在受影响的Windows系统上执行任意代码。

但是,在Microsoft发布紧急补丁程序时,没有任何安全漏洞被公认为被黑客公开或广泛利用。

根据通报,这两个漏洞是由趋势科技“零日活动”的Abdul-Aziz Hariri报告给Microsoft的,并且会影响以下操作系统:

  • Windows 10版本1709
  • Windows 10版本1803
  • Windows 10版本1809
  • Windows 10版本1903
  • Windows 10版本1909
  • Windows 10版本2004
  • Windows Server 2019
  • Windows Server版本1803
  • Windows Server 1903版
  • Windows Server版本1909
  • Windows Server版本2004

由于Microsoft不知道这些漏洞的任何解决方法或缓解因素,因此强烈建议Windows用户在攻击者开始利用这些问题并损害其系统之前,部署新的修补程序。

但是,该公司正在通过Microsoft Store推出带外安全更新,因此将自动更新受影响的用户,而无需采取任何进一步的措施。

另外,如果您不想再等待几个小时或一天,则可以通过Microsoft Store检查新更新来立即安装补丁。

 

*编译:Domino

*来自:thehackernews

分享到: 更多 (0)