Microsoft, Windows Codecs Kitaplığı İçindeki İki "Kritik" Güvenlik Hatasını Düzeltmek İçin Düzeltmeler Yapıyor
Microsoft, iki ciddi düzeltme eki yayınladı güvenlik açıkları Windows 10 codec bileşenleri kitaplığında. Bu düzeltmeler, planlanmamış güncellemelerin bir parçasıdır ve zorunludur. RCE (Uzaktan Kod Yürütme) yetenekleriyle iki güvenlik açığını ele alırlar. Kusurlar hem Windows 10 istemcisini hem de sunucu sürümlerini etkiler.
Microsoft, Windows Codec kitaplığında yakın zamanda keşfedilen iki güvenlik sorunuyla ilgili ayrıntıları yayınladı. Güvenlik boşlukları, kütüphanenin "bellekteki nesneleri işleme" biçiminde bulundu. Kritik ve Önemli olarak listelenen güvenlik açıkları, uzaktaki saldırganların kurban bilgisayar üzerinde tam kontrol sahibi olmasına olanak sağlayabilir.
Microsoft, RCE Potansiyeliyle "Kritik" Ve "Önemli" Etiketli İki Güvenlik Açığını Sessizce Düzeltti:
Microsoft, güvenlik sorunlarının "CVE-2020-1425" ve "CVE-2020-1457" olarak etiketlendiğini ve izlendiğini doğruladı. Bu güvenlik kusurları, en yaygın iki görüntü codec bileşeni "HEIF" ve "HEVC" içinde bulunuyordu. Şirket, güvenlik açıklarını Kritik ve Önemli önem derecesine sahip bir uzaktan kod yürütme güvenlik açığı olarak tanımladı.
Güvenli olmayan sürümler, Windows 10 Sürüm 1709'dan beri Windows 10 İşletim Sistemine dahil edilmiştir ve bazı Windows Server sürümlerinde de bulunabilir. Ek olarak, 32 bit, 64 bit ve ARM sürümleri de dahil olmak üzere v1709'dan sonra yayınlanan tüm Windows 10 sürümlerinde kusurlar vardı. Windows 10 Server söz konusu olduğunda, etkilenen sürümler, Windows Server 2019 ve Windows Server sürüm 2004 Core yüklemesiydi.
Microsoft, güvenlik açıklarından hiçbirinin vahşi ortamda istismar edilmediğini garanti eder. Başka bir deyişle, şirket, herhangi bir kötü niyetli kuruluş güvenlik açıklarından yararlanamadan önce güvenlik açıklarını ele aldığını ve yamadığını iddia ediyor. Bu arada, bu güvenlik boşluklarından yararlanmanın basit olduğu bildirildi. Saldırganın, özel olarak hazırlanmış bir görüntü dosyası oluşturması ve bu güvenlik açığından yararlanabilmesi için bunu bir hedef sistemde açması gerekiyordu.
Windows Codec Kitaplığındaki Güvenlik Açıklarına Karşı Güvenlik Koruması Yok Ancak Yolda Zorunlu Güncellemeler:
Güvenlik risklerine yönelik herhangi bir geçici çözüm veya azaltma yoktu. Ancak Microsoft, sorunu düzeltmek ve sistemleri gelecekteki olası istismarlara karşı korumak için Windows 10 ve Windows 10 Sunucu cihazlarına yüklenmesi gereken bir güncelleme oluşturduğundan bunlara ihtiyaç duyulmadı.
Microsoft, güvenlik açıklarını gidermek için rutin veya planlanmamış bir güncellemeyi devre dışı bıraktı. Güncelleme, bir Microsoft Store güncellemesi aracılığıyla cihazlara gönderilir. Şirket, güncellemelerin Windows 10 cihazlarına otomatik olarak ulaşacağını ve işletim sistemi kullanıcılarının bu konuda herhangi bir işlem yapması gerekmediğini belirtiyor. Yöneticiler Microsoft Store uygulamasını manuel olarak açabilir, Menü> İndirilenler ve güncellemeler'i seçebilir ve güncellemeleri manuel olarak kontrol etmek için "güncellemeleri al" düğmesini tıklayabilir. Bu, yamaların kurulumunu hızlandırmalıdır.