Microsoft выпустила обновления для исправления критических уязвимостей в кодеках Windows 10 и Windows Server
Обновлено: 06.07.2020: Microsoft обновила описания уязвимостей и добавила к ним подробную информацию. Компания отмечает, что настройки Windows 10 по умолчанию не затронуты, и уязвимостям подвержены только следующие приложения из Microsoft Store: Расширения для видео HEVC и Расширения для видео HEVC от производителя устройства.
Для обновления нужно выполнить команду в PowerShell:
Уязвимости были обнаружены в библиотеке кодеков Windows (Microsoft Windows Codecs Library) и связаны с тем, как библиотека обрабатывает объекты в памяти.
Microsoft уже подтвердила проблемы безопасности и обозначила их как уязвимости удаленного выполнения кода с уровнями опасности критическая и важная.
Проблеме подвержены все клиентские версии Windows 10 от Windows 10, версия 1709 до Windows 10, версия 2004 (32-битная, 64-битная и версия для ARM) , а также несколько версий Windows Server, включая Windows Server 2019 и Windows Server, версия 2004.
Реальные случаи эксплуатации уязвимостей не выявлены. Злоумышленники могут создать специальный графический файл для проведения атаки в целевой системе.
Microsoft создала обновления, которые необходимо установить на устройства Windows 10 и Windows Server, чтобы исправить проблему и защитить систему от возможных эксплойтов.
Обновления доставляются на устройства через магазин приложений Microsoft Store. Microsoft отмечает, что обновления будут автоматически устанавливаться на устройствах и что клиентам не нужно предпринимать никаких дополнительных действий.
Администраторы, которые не хотят дожидаться автоматического обновления в системах, могут вручную открыть приложение Microsoft Store и перейти в Меню > Загрузки и обновления и нажать кнопку Получить обновления, чтобы запустить проверку обновлений вручную.
На портале Microsoft MSRC размещены ссылки на уязвимости:
- CVE-2020-1425 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
- CVE-2020-1457 – Уязвимость библиотеки Microsoft Windows Codecs, позволяющая удаленно исполнять код
Сентябрьский пакет обновлений исправляет более 120 уязвимостей в продуктах Microsoft
Компания устранила несколько десятков критических уязвимостей.
Компания Microsoft выпустила плановый ежемесячный пакет обновлений безопасности, устраняющий в общей сложности 129 уязвимостей в 15 продуктах компании, включая ОС Windows, браузеры Edge (классический и на базе Chromium), Internet Explorer, SQL Server, ASP.NET и пр.
Перечень исправленных включает несколько десятков уязвимостей удаленного выполнения кода, самыми опасными из которых являются:
CVE-2020-16875 — проблема повреждения памяти в Microsoft Exchange, позволяющая удаленно выполнить код путем отправки электронного письма на целевой ПК;
CVE-2020-1210 — критическая уязвимость в SharePoint, получившая оценку в 9,9 балла из 10 возможных по классификации CVSS;
CVE-2020-1285 — проблема в Windows Graphic Device Interface, с помощью которой злоумышленники могут получить полный контроль над системой;
CVE-2020-1129 — уязвимость в Microsoft Windows Codecs Library, ее эксплуатация позволяет атакующему выполнить код, если пользователь просмотрит вредоносное видео.
Кроме прочего, компания исправила уязвимость обхода функции безопасности в Windows Defender ( CVE-2020-0951 ). Воспользовавшись данной уязвимостью, атакующий с правами администратора на локальной машине может подключиться к сеансу PowerShell и выполнить произвольный код. С полным списком исправленных уязвимостей можно ознакомиться здесь .
Подписывайтесь на каналы «SecurityLab» в 
Telegram и 
Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Microsoft выпустила экстренные патчи для Windows Codecs и Visual Studio Code
Решения содержат уязвимости, позволяющие удаленно выполнить код.
Компания Microsoft выпустила внеплановые обновления безопасности, устраняющие две уязвимости удаленного выполнения кода в библиотеке Windows Codecs и приложении Visual Studio Code.
Первая проблема, получившая идентификатор ( CVE-2020-17022 ), существует в связи с тем, как Windows Codecs обрабатывает объекты в памяти. Уязвимость затрагивает все версии Windows 10 и может быть проэксплуатирована путем отправки вредоносного изображения.
Отметим, что проблема распространяется не на всех пользователей Windows 10, а только на системы с уязвимыми медиа кодеками HEVC или HEVC from Device Manufacturer, загруженными из Microsoft Store. Проблема не затрагивает версии HEVC 1.0.32762.0, 1.0.32763.0 и более поздние.
Обновление, исправляющее указанную уязвимость, будет автоматически установлено на системы пользователей через Microsoft Store.
Вторая проблема ( CVE-2020-17023 ) содержится в приложении Visual Studio Code и может быть проэксплуатирована с помощью вредоносного package.json файла. В зависимости от разрешений пользователя атакующий может использовать данную уязвимость для удаленного выполнения кода в том числе с правами администратора.
Пользователям рекомендуется обновить приложение как можно скорее.
Подписывайтесь на каналы «SecurityLab» в Telegram и Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.