微軟發布兩個 Windows 重大漏洞通報.png

本月一日,微軟公司發布兩個 Windows 重大資安漏洞,分別是 CVE-2020-1425、CVE-2020-1457。

這兩個漏洞都發生在 Windows 用以處理多媒體檔案壓縮、解壓縮與播放工作的 Windows Codecs 程式庫;其中 CVE-2020-1425 漏洞的問題出在 Windows Codecs 程式庫在記憶體管理上的錯誤,導致駭侵者可用特製的影像檔案突破此漏洞,取得重要系統資訊,進而遠端執行任意程式碼。

CVE-2020-1457 的錯誤也和 CVE-2020-1425 類似,同樣是 Windows Codecs 程式庫的記憶體管理問題,也同樣能讓駭侵者利用特製影像檔案突破漏洞,遠端執行任意程式碼。

這兩個漏洞的 CVSS 3.0 嚴重程度分數都是 7.7 分,受到影響的 Windows 系統版本如下:

 

Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本;

Windows Server 2019 Server Core 安裝版;

Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。
 

目前微軟並未針對這兩個嚴重漏洞單獨推出修補程式,而是表示在接下來的每月定期資安更新周期中,會推出修補軟體;屆時用戶再安裝修補程式即可。

 

  • CVE編號:CVE-2020-1425、CVE-2020-1457
  • 影響產品(版本):
     
    • Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本;
    • Windows Server 2019 Server Core 安裝版;
    • Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。
       
  • 解決方案:安裝微軟定期推出的資安修補包

  • 參考連結

https://www.jpcert.or.jp/english/at/2020/at200027.html

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1425

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1457

arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()