據(jù)微軟安全響應(yīng)中心發(fā)布的最新安全通報(bào) , 微軟向Windows 10提供HEVC編解碼器出現(xiàn)2個(gè)高危級(jí)別的安全漏洞。

該漏洞從Windows 10 v1709開始到Windows 10 v2004版均受影響 , 所有用戶都需要立即安裝更新修復(fù)該漏洞。

當(dāng)然雖然是高危漏洞不過用戶也不需要太擔(dān)心，因?yàn)椴恍枰鹊较轮懿拍苄迯?fù)，實(shí)際上微軟已經(jīng)開始推送新版本。

只要用戶沒有手動(dòng)禁止 Microsoft Store 微軟商店的自動(dòng)更新即可，如果手動(dòng)禁止自動(dòng)更新的話需要重新更新下。

更新：微軟初次安全公告提到Windows Server 也受影響，但該系統(tǒng)不支持商店所以服務(wù)器用戶是不需要擔(dān)心的。

CVE-2020-1425?/?CVE-2020-1457

HEVC編解碼器遠(yuǎn)程代碼執(zhí)行漏洞：

HEVC即高效率視頻編碼規(guī)范，發(fā)起方是MPEG和VCEG，該標(biāo)準(zhǔn)也被視為是 H.264 和MPEG-4 AVG的繼任版本。

微軟在2014年Windows 10 初始版本還在測(cè)試的時(shí)候就宣布支持HEVC，隨后通過應(yīng)用商店提供HEVC擴(kuò)展程序。

此次出現(xiàn)高危安全漏洞的就是這個(gè)HEVC擴(kuò)展程序 ，其編碼庫被發(fā)現(xiàn)存在缺陷會(huì)導(dǎo)致處理內(nèi)存對(duì)象時(shí)會(huì)出現(xiàn)錯(cuò)誤。

若攻擊者制作特定的圖像并誘導(dǎo)用戶加載即可觸發(fā)該漏洞，觸發(fā)該漏洞后攻擊者可以遠(yuǎn)程執(zhí)行任意代碼威脅較高。

哪些用戶受影響以及怎么修復(fù)：

此安全漏洞僅影響Windows 10 v1709~2004 版的x86/x64/ARM64用戶，Windows Server用戶不受漏洞影響。

是否安裝：該擴(kuò)展程序在部分設(shè)備上是自動(dòng)安裝的，用戶可以轉(zhuǎn)到設(shè)置/應(yīng)用/應(yīng)用和功能/搜索/輸入 HEVC檢索。

具體來說：若用戶已安裝HEVC視頻擴(kuò)展?或?來自設(shè)備制造的HEVC視頻擴(kuò)展?, 則說明受影響需要在商店進(jìn)行更新。

怎么修復(fù)：打開 Microsoft Store 微軟商店點(diǎn)擊頭像旁邊菜單選擇下載和更新，然后等待系統(tǒng)自動(dòng)檢查更新即可。