微软发布紧急更新来修补影响Windows 10和Windows Server的两个重要漏洞

微软于6月30日发布了Windows10 编解码器库(Codecs)中两个严重安全漏洞(代号分别为CVE-2020-1425和CVE-2020-1457)的补丁。这些修复是计划外更新的一部分，是强制性的。它们利用RCE（远程代码执行）功能解决了两个安全漏洞。这些漏洞同时影响Windows10客户端和服务器版本。以下操作系统受到影响：

Windows 10 version 1709

Windows 10 version 1803

Windows 10 version 1809

Windows 10 version 1903

Windows 10 version 1909

Windows 10 version 2004

Windows Server 2019

Windows Server version 1803

Windows Server version 1903

Windows Server version 1909

Windows Server version 2004

如果您运行的是Windows10操作系统，那么您应该更新并修补该操作系统，这样更安全。微软发布了两个带外安全更新，用于修补Microsoft Windows编解码器库中的两个漏洞。这两个漏洞只影响Windows 10和Windows Server 2019发行版。

在最近发布的安全警告中，微软表示，可以通过一个特制的图像文件来利用这两个安全漏洞。发现安全漏洞的方式是库“处理内存中的对象”。被列为关键和重要的安全漏洞可能允许远程攻击者完全控制受害者的计算机。这些安全漏洞存在于两种最常见的图像编解码器HEIF和HEVC中。

如果在利用内置Windows编解码器库处理多媒体内容的应用程序中打开了格式错误的图像，则攻击者将被允许在Windows计算机上运行恶意代码，并可能接管设备。对于那些不知道的人来说，Codecs是一个支持库的集合，帮助Windows操作系统播放、压缩和解压缩各种音频和视频文件扩展名。

根据微软的说法，这两个远程代码执行漏洞都以Microsoft Windows编解码器库处理内存中对象的方式存在。但是，要同时利用这两个漏洞，攻击者必须诱使运行受影响的Windows系统的用户单击特制的图像文件，该文件设计成可与使用内置Windows Codec库的任何应用程序一起打开。

其中，CVE-2020-1425更为关键，因为成功利用该漏洞可能会让攻击者甚至获取数据，从而进一步危害受影响用户的系统。第二个漏洞被追踪为CVE-2020-1457，被认为是重要漏洞，可让攻击者在受影响的Windows系统上执行任意代码。受影响的客户无需采取任何行动即可收到更新，因为他们将由微软商店自动更新。或者，希望立即接收更新的客户可以使用Microsoft应用商店应用程序检查更新。

微软在每个月的第二个星期二（也称为“补丁星期二”）之外发布更新并非完全罕见。然而，通常情况下，微软这样做是为了应对第三方安全研究人员发现的漏洞，包括谷歌（Google）等竞争对手发现的漏洞。微软说，他们没有检测到任何一个Windows编解码器库的漏洞正在被利用。