Windows 10: Kritische Codec-Schwachstellen gepatcht

[English]Microsoft hat zum 30. Juni 2020 in einem Notfall-Update die Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library gepatcht. Das betrifft Windows 10 und die Windows Server Pendants, wobei das Update der Bibliotheken über den Store ausgerollt wird.


Anzeige

Sicherheitsinformation durch Microsoft

Ich habe die Informationen über die außerplanmäßigen Sicherheitsupdates von Microsoft per Mail bekommen. Dort schreibt man:

***********************************************************************
Title: Microsoft Security Update Releases
Issued: June 30, 2020
***********************************************************************
Summary
The following CVEs have undergone a major revision increment:

* CVE-2020-1425
* CVE-2020-1457

Revision Information:
=====================


Anzeige

* CVE-2020-1425

CVE-2020-1425 | Microsoft Windows Codecs Library Remote Code Execution
Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: June 30, 2020
– Updated: N/A
– Aggregate CVE Severity Rating: Critical

* CVE-2020-1457

CVE-2020-1457 | Microsoft Windows Codecs Library Remote Code Execution
Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: June 30, 2020
– Updated: N/A
– Aggregate CVE Severity Rating: Important

Bei beiden CVEs handelt es sich um Remote Code Execution (RCE) Schwachstellen, die als kritisch angesehen wurden.

CVE-2020-1425-Windows Codecs Library RCE-Schwachstelle

Bei CVE-2020-1425 handelt es sich um eine Remote Code Execution (RCE) Schwachstelle in der Microsoft Windows Codecs Library. Die RCE-Schwachstelle ist in der Art und Weise begründet, wie die Microsoft Windows-Codecs-Bibliothek mit Objekten im Speicher umgeht. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Informationen erhalten, um das System des Benutzers weiter zu kompromittieren.

Die Ausnutzung der Schwachstelle erfordert, dass ein Programm eine speziell gestaltete Bilddatei verarbeitet. Ein verfügbares Update behebt die Sicherheitslücke in der Microsoft Windows-Codecs-Bibliothek. Es stehen Updates von Windows 10 Version 1709 bis hin zu Windows Server 2019 bereit. Details finden sich unter CVE-2020-1425.

CVE-2020-1457-Windows Codecs Library RCE-Schwachstelle

Bei CVE-2020-1457 handelt es sich ebenfalls um eine Remote Code Execution (RCE) Schwachstelle in der Microsoft Windows Codecs Library. Die RCE-Schwachstelle ist in der Art und Weise begründet, wie die Microsoft Windows-Codecs-Bibliothek mit Objekten im Speicher umgeht. Ein Angreifer, der diese Schwachstelle über eine präparierte Bilddaten erfolgreich ausnutzt, könnte Fremdcode remote ausführen. Ein verfügbares Update behebt die Sicherheitslücke in der Microsoft Windows-Codecs-Bibliothek. Es stehen Updates von Windows 10 Version 1709 bis hin zu Windows Server 2019 bereit. Details finden sich unter CVE-2020-1457.

Auslieferung über den Store

Betroffene Kunden werden vom Microsoft Store automatisch mit den erforderlichen Updates für die Windows Codecs Library aktualisiert. Benutzer müssen keine Maßnahmen ergreifen, um das Update zu erhalten. Alternativ können Kunden, die das Update sofort erhalten möchten, mit der Microsoft Store App nach Updates suchen lassen.

Martin Brinkmann von ghacks.net hat hier einen Screenshot veröffentlicht der die Update-Suche im Store zeigt. Das Problem bei dem ganzen Ansatz: Es gibt keine Information, welche Updates gebraucht werden. Und es ist auch doof, das die Updates über den Store kommen.

Martin Brinkmann schreibt auf gehacks.net, dass er zwei Einträge, HEIF-Bilderweiterungen und HEVC-Videoerweiterungen, gefunden habe. Einen dieser Einträge habe ich bei der Update-Suche im Store gefunden. Ich weiß also auch nicht, ob es passt. Nachträge der Situation finden sich im Beitrag Nachträge zum Notfallpatch in der Windows Codecs Library


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Windows 10: Kritische Codec-Schwachstellen gepatcht

  1. 1ST1 sagt:

    Dass dieses Update per Store kommt, ist wirklich doof. Denn z.B. hier ist der Store überall auf mehreren Wegen gesperrt. Das muss per Win-Update/WSUS kommen. Wird dann wohl der kommende Patchday übernächste Woche sein…

  2. Herr IngoW sagt:

    "HEVC-Videoerweiterungen" muss man extra kaufen, z.Z. 0.99€
    "HEIF-Bilderweiterungen" sind standardmäßig enthalten.

  3. Michel sagt:

    Also die im Screenshot gezeigte Version der "HEIF-Bilderweiterungen" 1.0.31572 wurde lt. meinem Store bereits am 24. Juni "geändert". Ich wäre Vorsichtig ob das bereits die gefixte Version ist. Leider gibt es von MS ja (noch) keinerlei vernünftige Infos.

    • Herr IngoW sagt:

      Hier ist die Version 1.0.31572 gestern (01.02.2020) installiert worden.

    • Dr. Westphal sagt:

      EDIT: Betroffen ist die Videoerweiterung. Die meisten User sehen jedoch die Bilderweiterung. Nicht verwechseln.

      The secure versions are 1.0.31822.0, 1.0.31823.0

      Wir haben alle noch die alte Version. Microsoft lässt und unsicher und selbst wenn man manuell auf Update klickt, kommt nicht die gepatchte Version.

      Übrigens halte ich es für skandalös, dass man im MS Store (auf der Store-Page der App) weder die aktuellste Versionsnummer noch Patchnotes sehen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.