按 Enter 到主內容區
:::

TWCERT-電子報

:::

微軟發布兩個 Windows 重大漏洞通報

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-07-08
  • 點閱次數:362
微軟發布兩個 Windows 重大漏洞通報 TWCERT/CC

CVE編號

CVE-2020-1425、CVE-2020-1457

內文

本月一日,微軟公司發布兩個 Windows 重大資安漏洞,分別是 CVE-2020-1425、CVE-2020-1457。

這兩個漏洞都發生在 Windows 用以處理多媒體檔案壓縮、解壓縮與播放工作的 Windows Codecs 程式庫;其中 CVE-2020-1425 漏洞的問題出在 Windows Codecs 程式庫在記憶體管理上的錯誤,導致駭侵者可用特製的影像檔案突破此漏洞,取得重要系統資訊,進而遠端執行任意程式碼。

CVE-2020-1457 的錯誤也和 CVE-2020-1425 類似,同樣是 Windows Codecs 程式庫的記憶體管理問題,也同樣能讓駭侵者利用特製影像檔案突破漏洞,遠端執行任意程式碼。

這兩個漏洞的 CVSS 3.0 嚴重程度分數都是 7.7 分,受到影響的 Windows 系統版本如下:
 

Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本;
Windows Server 2019 Server Core 安裝版;
Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。
 

目前微軟並未針對這兩個嚴重漏洞單獨推出修補程式,而是表示在接下來的每月定期資安更新周期中,會推出修補軟體;屆時用戶再安裝修補程式即可。

影響產品

Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本; Windows Server 2019 Server Core 安裝版; Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。

解決辦法

安裝微軟定期推出的資安修補包
回頁首