CVE-2020-1425、CVE-2020-1457

本月一日，微軟公司發布兩個 Windows 重大資安漏洞，分別是 CVE-2020-1425、CVE-2020-1457。

這兩個漏洞都發生在 Windows 用以處理多媒體檔案壓縮、解壓縮與播放工作的 Windows Codecs 程式庫；其中 CVE-2020-1425 漏洞的問題出在 Windows Codecs 程式庫在記憶體管理上的錯誤，導致駭侵者可用特製的影像檔案突破此漏洞，取得重要系統資訊，進而遠端執行任意程式碼。

CVE-2020-1457 的錯誤也和 CVE-2020-1425 類似，同樣是 Windows Codecs 程式庫的記憶體管理問題，也同樣能讓駭侵者利用特製影像檔案突破漏洞，遠端執行任意程式碼。

這兩個漏洞的 CVSS 3.0 嚴重程度分數都是 7.7 分，受到影響的 Windows 系統版本如下：
 

Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本；
Windows Server 2019 Server Core 安裝版；
Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。
 

目前微軟並未針對這兩個嚴重漏洞單獨推出修補程式，而是表示在接下來的每月定期資安更新周期中，會推出修補軟體；屆時用戶再安裝修補程式即可。

Windows 10 version 1709、1803、1809、1903、1909、2004 的 32 位元、ARM 64 位元、x64 各平台版本； Windows Server 2019 Server Core 安裝版； Windows Server version 1709、1803、1903、1909、2004 Server Core 安裝版。

安裝微軟定期推出的資安修補包