首页 > 信息安全 > 正文

微软紧急修复2个0 day漏洞

2020-07-03 10:25:07  来源:嘶吼网

摘要:6月30日,微软发布了2个软件更新来修复2个高风险的安全漏洞,漏洞影响数百万Windows 10和Sever用户。距离7月14日的微软补丁日不到2周时,
关键词: 微软 漏洞
  6月30日,微软发布了2个软件更新来修复2个高风险的安全漏洞,漏洞影响数百万Windows 10和Sever用户。距离7月14日的微软补丁日不到2周时,微软为何提前发布安全漏洞补丁呢?由于漏洞位于Windows Codecs Library中,因此研究人员认为攻击者很容易就可以使用社会工程攻击方法来使受害者从互联网上下载和运行恶意媒体文件,因此漏洞被利用的可能性很高。这两个漏洞分别是CVE-2020-1425和CVE-2020-1457。
 
  CVE-2020-1425和CVE-2020-1457漏洞分析
 
  这两个漏洞都位于Windows Codecs Library中,Codecs是帮助Windows操作系统播放、压缩和解压不同的音视频文件扩展的支持库。漏洞属于远程代码执行漏洞,攻击者利用这两个漏洞可以执行任意代码和控制被黑的Windows计算机。
 
  CVE-2020-1457漏洞定位为重要,攻击者利用该漏洞可以在受影响的Windows 系统上执行任意代码。相比之下,CVE-2020-1425漏洞更加严重。攻击者利用该漏洞可以在收集系统中的数据用于进一步攻击受影响的用户系统。这两个漏洞的成功利用都要求攻击者诱使受害者在受影响的系统上点击有个精心伪造的图像文件,点击该图像文件的目的是打开使用内置Windows Codec Library的app。
 
  截止目前,尚未有安全研究人员报告这两个漏洞的在野利用。
 
  受影响的系统
 
  漏洞影响Windows 10和Windows server,具体受影响的版本包括:
 
  Windows 10 v 1709
 
  Windows 10 v 1803
 
  Windows 10 v 1809
 
  Windows 10 v 1903
 
  Windows 10 v 1909
 
  Windows 10 v 2004
 
  Windows Server 2019
 
  Windows Server v 1803
 
  Windows Server v 1903
 
  Windows Server v 1909
 
  Windows Server v 2004
 
  研究人员强烈建议用户尽快安装补丁。此外,微软还在微软应用商店中发布了安全更新,受影响的系统会主动更新安全补丁。但自动更新可能需要几天,可以通过手动检查微软应用商店更新的方式快速安装补丁。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhangwenwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。