微软在6月30日紧急修补了藏匿在Windows编解码器函数库(Windows Codecs Library)的两个远程程序攻击漏洞,波及多个Windows 10版本与Windows Server,其中的CVE-2020-1425被列为重大(Critical)漏洞,而CVE-2020-1457则是属于重要(Important)漏洞。
这两个漏洞都是源自于Windows Codecs Library处理内存中对象的方式有瑕疵,黑客只要打造一个特定的图像档就能开采它们,例如设计一个特定的网页以吸引Windows用户打开,即可导致内存毁损而允许黑客执行任意程序。
虽然它们都被列为远程程序攻击漏洞,但根据微软的说明,成功开采CVE-2020-1425将可取得进一步危害用户系统的重要信息,而成功开采CVE-2020- 1457则能执行任意程序。目前尚未出现针对相关漏洞的攻击行动。
这两个漏洞影响了所有的Windows 10版本,包括Windows 10 1709/1803/1809/1903/1909/2004,以及Windows Server 2019与Windows Server 1709/1903/2004。CVE-2020-1425还额外波及Windows Server 1803。
不过,Windows用户不必采取任何行动来接收相关的更新,因为系统会借由Microsoft Store进行自动更新,想要立即更新的用户则可通过Microsoft Store程序来检查更新信息。