微軟昨天發(fā)布了一個安全更新，以修復Windows Codecs庫中的兩個漏洞。該公司已通過Microsoft Store將這些更新提供給受影響的Windows 10和Windows Server的所有受支持版本。

在CVE-2020-1457和CVE-2020-1425下跟蹤的漏洞是編解碼器庫中存在的錯誤，這些錯誤處理內(nèi)存中的對象。利用這些缺陷，攻擊者可以“執(zhí)行任意代碼”或從受害機器中獲取更多信息。當用戶設(shè)備對特制圖像文件進行“處理”時，可以利用這兩個安全漏洞，然后攻擊者就可以控制設(shè)備并執(zhí)行惡意操作。

當前，沒有針對這些漏洞的已知解決方法或緩解措施。值得慶幸的是，雷德蒙德補充說，這些缺陷沒有被公開披露，并且沒有已知的漏洞利用。該公司將趨勢科技的“零日行動”歸功于其私下披露漏洞的原因。

必須注意，針對這些已知安全威脅的修復程序已通過Microsoft Store(而非Windows Update)通過對編解碼器的更新進行了部署。該公司表示，客戶無需采取任何特定措施即可接收更新。