本月一日,微軟公司發布兩個 Windows 重大資安漏洞,分別是 CVE-2020-1425、CVE-2020-1457。
這兩個漏洞都發生在 Windows 用以處理多媒體檔案壓縮、解壓縮與播放工作的 Windows Codecs 程式庫;其中 CVE-2020-1425 漏洞的問題出在 Windows Codecs 程式庫在記憶體管理上的錯誤,導致駭侵者可用特製的影像檔案突破此漏洞,取得重要系統資訊,進而遠端執行任意程式碼。
CVE-2020-1457 的錯誤也和 CVE-2020-1425 類似,同樣是 Windows Codecs 程式庫的記憶體管理問題,也同樣能讓駭侵者利用特製影像檔案突破漏洞,遠端執行任意程式碼。
這兩個漏洞的 CVSS 3.0 嚴重程度分數都是 7.7 分,受到影響的 Windows 系統版本如下:
Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本;
Windows Server 2019 Server Core 安裝版;
Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。
目前微軟並未針對這兩個嚴重漏洞單獨推出修補程式,而是表示在接下來的每月定期資安更新周期中,會推出修補軟體;屆時用戶再安裝修補程式即可。
- CVE編號:CVE-2020-1425、CVE-2020-1457
- 影響產品(版本):
- Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本;
- Windows Server 2019 Server Core 安裝版;
- Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。
- 解決方案:安裝微軟定期推出的資安修補包
- 參考連結
https://www.jpcert.or.jp/english/at/2020/at200027.html
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1425
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1457
- 【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/tw/lp-104-1.html
留言列表