Microsoft выпускает срочное обновление Windows, чтобы исправить две критические уязвимости безопасности

Недавно Microsoft выпустила исправления для двух серьезных уязвимостей в библиотеке кодеков Windows 10. Эти исправления являются частью внеплановых обновлений и являются обязательными. Они устраняют два недостатка безопасности с помощью возможностей удаленного выполнения кода (Remote Code Execution). Недостатки затрагивают как клиентскую, так и серверную версии Windows 10.

Если вы используете ОС Windows 10, вам следует обновить и установить исправления ОС, чтобы она была более безопасной. Были выпущены два внешних обновления безопасности для исправления двух уязвимостей в библиотеке кодеков Microsoft Windows. Отмеченные как CVE-2020-1425 и CVE-2020-1457, эти две ошибки влияют только на дистрибутивы Windows 10 и Windows Server 2019.

В недавно опубликованных рекомендациях по безопасности Microsoft сообщила, что эти два недостатка безопасности можно использовать с помощью специально созданного файла изображения. Бреши в безопасности были найдены в том, как библиотека «обрабатывает объекты в памяти». Перечисленные как критические и важные, уязвимости могут потенциально позволить злоумышленникам удаленно получить полный контроль над компьютером жертвы. Эти недостатки безопасности находились в двух наиболее распространенных кодеках изображений HEIF и HEVC. Компания определила уязвимости RCE с серьезностью критических и важных.

Если искаженные изображения открываются в приложениях, использующих встроенную библиотеку кодеков Windows для обработки мультимедийного содержимого, злоумышленникам будет разрешено запускать вредоносный код на компьютере Windows и потенциально захватывать устройство. Для тех, кто не знает, Codecs - это набор библиотек поддержки, которые помогают операционной системе Windows воспроизводить, сжимать и распаковывать различные расширения аудио и видео файлов.

Согласно Microsoft, обе уязвимости RCE связаны с тем, как библиотека кодеков Microsoft Windows обрабатывает объекты в памяти. Однако для использования обоих недостатков злоумышленник может заставить пользователя, использующего уязвимую систему Windows, щелкнуть специально созданный файл изображения, предназначенный для открытия любым приложением, использующим встроенную библиотеку кодеков Windows.

В обоих случаях CVE-2020-1425 более важен, поскольку успешная эксплуатация может позволить злоумышленнику даже собрать данные, чтобы еще больше скомпрометировать систему пострадавшего пользователя. Вторая уязвимость, отслеживаемая как CVE-2020-1457, была оценена как важная и может позволить злоумышленнику выполнить произвольный код в уязвимой системе Windows. По словам компании, пострадавшие клиенты не должны предпринимать никаких действий для получения обновления, поскольку они будут автоматически обновляться в Microsoft Store. Кроме того, клиенты, которые хотят получить обновление немедленно, могут проверить наличие обновлений с помощью приложения Microsoft Store.

Microsoft доверяет исследователю безопасности Абдул-Азизу Харири за то, что он выявил недостатки и сообщил о них в инициативу Trend Micro Zero Day Initiative (ZDI). Это касается следующих операционных систем:

  • Windows 10 версия 1709
  • Windows 10 версия 1803
  • Windows 10 версия 1809
  • Windows 10 версия 1903
  • Windows 10 версия 1909
  • Windows 10 версия 2004
  • Windows Server 2019
  • Windows Server версии 1803
  • Windows Server версия 1903
  • Windows Server версия 1909
  • Windows Server версия 2004

Так как Microsoft не знает ни об обходном пути, ни о смягчающем факторе для этих уязвимостей, пользователям Windows настоятельно рекомендуется установить новые исправления, прежде чем злоумышленники начнут использовать уязвимости.

Тем не менее, компания внедряет обновления безопасности вне сети через Microsoft Store, поэтому уязвимые пользователи будут автоматически обновляться без каких-либо дополнительных действий. Кроме того, вы можете немедленно установить исправления, проверив наличие новых обновлений в Магазине Microsoft, если не хотите ждать.

Комментарии: 15
Ваш комментарий

Обновления через магазин? Очень оригинально. Дальше что? По почте на дискетах присылать будут?

26

Не знаю, с обновами никогда проблем не возникало. Что у меня ноут ~2012 года, стоит на 1909, что старый ПК с i5 2400 на 2004, что мой ПК на 2004. Вообще не помню, чтоб были какие-то проблемы. Сейчас вот в 2004 добавили планирование GPU, которое неплохо бустит минимальный и максимальный FPS. Обновам, которые исправляют уязвимости я рад, вот уже сколько лет винда позволяет обходится без антивируса (даже встроенный отрубил). Просто людям вбили в голову тупыми новостями, что там у 1,5 человека что-то случилось, вот они и сидят, обустраивая вокруг себя стену.

12

Kirill22092 Вчера обновил Винду до2004 и последние дрова поставил, но у меня нет в настройках графики планирование GPU.

3

а у меня нет проблем с обновами

6

dima_answer Как и у большинства Гомо сапиенс.

4

1)Почините мне блин Explorer, который дохнет каждый раз когда начинаю листать меню ПУСК. 2)Почините мне поисковик Винды, тупо не реагирует ни в меню Пуск, ни в мой ПК. Создал нового пользователя и проблемы ушли, ноооооо я манал перекидывать данные с одного на второй, часть программ приходиться повторно настраивать, а это бесит(многое настраивалось днями).

2

да и я походу попал или развод мне на днях в спам пришло письмо пишут что у них есть доступ к моему компу и к камере короче надо заплатить и они про меня забудут такая хрень

2

Когда они уже уберут эту цифру 10, которая, по сути, ничего значит? Уже все адекватные люди давно перешли на Windows 10, а новые версии они вроде как выпускать не собирались...

1

У них вообще хоть одна обнова нормальной выходила? Одно типо "лечит", а другое 100% калечит.

0

Каждую обнову вечная проблема с vcredist. На будущее буду точку восстановления делать, ну ее нафиг

-7

Неделю назад обновился на 10, вчера смотрел фильм и при просмотре каждые 2 минуты (ровно через 2) плеер выходил из полноэкранного режима,решил смотреть в окне а тут бац он наоборот переключился в полный экран, пошол искать решение проблемы (ничего полезного не нашел),решил провести эксперимент поставил КУРСОР мыши на прокрутку видео и бац через 2 минуты мышь как будто сделала двойной клик хотя я её не трогал) спустя часов 5 встроеный антивирь начал вылавливать кучу вирусников (ругался на 3 разных файла что то там main) вроде удалил и пока всё спокойно...

-8

Raymon9 а нечего фильмы фиг знает откуда качать

-7

Raymon9 Винда тут не причем,возможно ты ратник словил,качая всякую херь с интернета.Это вирус удаленного доступа.

4

Night Strider Ага, и музыку тоже! avi и mp3 - главные переносчики заразы!

4