微软昨天发布了一个安全更新,修复了视窗编解码器库中的两个漏洞。该公司已通过微软商店将这些更新提供给受影响的Windows 10和Windows Server的所有受支持版本。
在CVE-2020-1457和CVE-2020-1425下跟踪的漏洞是编解码器库中的错误,它们处理内存中的对象。利用这些缺陷,攻击者可以“执行任意代码”或从受害机器获得更多信息。当用户设备“处理”一个特制的图像文件时,这两个安全漏洞就可能被利用,然后攻击者就可以控制设备并执行恶意操作。
目前,还没有针对这些漏洞的已知解决方案或缓解措施。幸运的是,雷德蒙补充说,这些缺陷尚未公开披露,也没有已知的漏洞。该公司将趋势科技的“零日行动”归因于其对漏洞的私下披露。
需要注意的是,对这些已知安全威胁的修复是通过微软商店而不是Windows Update对编解码器进行更新来部署的。据该公司称,客户不需要采取任何具体措施来接收更新。