Microsoft выпустила обновления для исправления критических уязвимостей в кодеках Windows 10 и Windows Server

Get-AppxPackage -Name Microsoft.HEVCVideoExtension

Уязвимости были обнаружены в библиотеке кодеков Windows (Microsoft Windows Codecs Library) и связаны с тем, как библиотека обрабатывает объекты в памяти.

Microsoft уже подтвердила проблемы безопасности и обозначила их как уязвимости удаленного выполнения кода с уровнями опасности критическая и важная.

Проблеме подвержены все клиентские версии Windows 10 от Windows 10, версия 1709 до Windows 10, версия 2004 (32-битная, 64-битная и версия для ARM) , а также несколько версий Windows Server, включая Windows Server 2019 и Windows Server, версия 2004.

Реальные случаи эксплуатации уязвимостей не выявлены. Злоумышленники могут создать специальный графический файл для проведения атаки в целевой системе.

Microsoft создала обновления, которые необходимо установить на устройства Windows 10 и Windows Server, чтобы исправить проблему и защитить систему от возможных эксплойтов.

Обновления доставляются на устройства через магазин приложений Microsoft Store. Microsoft отмечает, что обновления будут автоматически устанавливаться на устройствах и что клиентам не нужно предпринимать никаких дополнительных действий.

Администраторы, которые не хотят дожидаться автоматического обновления в системах, могут вручную открыть приложение Microsoft Store и перейти в Меню > Загрузки и обновления и нажать кнопку Получить обновления, чтобы запустить проверку обновлений вручную.

На портале Microsoft MSRC размещены ссылки на уязвимости:

• CVE-2020-1425 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
• CVE-2020-1457 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код