微軟在6月30日緊急修補了藏匿在Windows編解碼器函式庫(Windows Codecs Library)的兩個遠端程式攻擊漏洞,波及多個Windows 10版本與Windows Server,其中的CVE-2020-1425被列為重大(Critical)漏洞,而CVE-2020-1457則是屬於重要(Important)漏洞。

這兩個漏洞都是源自於Windows Codecs Library處理記憶體中物件的方式有瑕疵,駭客只要打造一個特製的圖像檔就能開採它們,例如設計一個特製的網頁以吸引Windows用戶開啟,即可導致記憶體毀損而允許駭客執行任意程式。

雖然它們都被列為遠端程式攻擊漏洞,但根據微軟的說明,成功開採CVE-2020-1425將可取得進一步危害用戶系統的重要資訊,而成功開採CVE-2020-1457則能執行任意程式。目前尚未出現針對相關漏洞的攻擊行動。

這兩個漏洞影響了所有的Windows 10版本,包括Windows 10 1709/1803/1809/1903/1909/2004,以及Windows Server 2019與Windows Server 1709/1903/2004。CVE-2020-1425還額外波及Windows Server 1803。

不過,Windows用戶不必採取任何行動來接收相關的更新,因為系統會藉由Microsoft Store進行自動更新,想要立即更新的使用者則可透過Microsoft Store程式來檢查更新資訊。


Advertisement

更多 iThome相關內容