MicrosoftがWindows 10とWindows Serverに影響するセキュリティ脆弱性を解決するため、緊急セキュリティアップデートをリリースした事がわかりました(Softpedia)。
脆弱性は公表されておらず、悪用される可能性は低いとのこですが、できるだけ早期に問題を解決するため、7月14日(現地時間)に計画されている月例更新プログラムを待たずに緊急パッチが公開された模様です。
今回見つかった2つの脆弱性CVE-2020-1425とCVE-2020-1457は、攻撃者が任意のコードを実行し、侵害されたコンピューターの制御を乗っ取ることができるというもの。
脆弱性の原因は Windows Codecsライブラリがメモリ内のオブジェクトを扱う方法に存在し、悪用するにはターゲットマシン上で細工された画像ファイルを処理する必要があるとのこと。
A remote code execution vulnerability exists in the way that Microsoft Windows Codecs Library handles objects in memory. An attacker who successfully exploited this vulnerability could obtain information to further compromise the user’s system
Exploitation of the vulnerability requires that a program process a specially crafted image file. The update addresses the vulnerability by correcting how Microsoft Windows Codecs Library handles objects in memory
影響を受けるOSは以下の通りです:
- Windows 10 version 1709
- Windows 10 version 1803
- Windows 10 version 1809
- Windows 10 version 1903
- Windows 10 version 1909
- Windows 10 version 2004
- Windows Server 2019
- Windows Server version 1803
- Windows Server version 1903
- Windows Server version 1909
- Windows Server version 2004
今回の脆弱性はTrend Micro Zero Day Initiativeのセキュリティ研究者Abdul-Aziz Hariri氏によって報告され、Microsoft Store経由で修正が自動的に配信されます。