01.07.2020 15:00
Out-of-band Patches für die "Microsoft Windows Codecs Library"
Microsoft hat zwei Security Advisories zu Remote Code Executions in der "Microsoft Windows Codecs Library" veröffentlicht. Betroffen sind sowohl Server- als auch Desktopversionen von Windows.
Für einen erfolgreichen Exploit ist es notwendig, dass eine speziell präparierte Datei von einem Programm ausgeführt wird. Von welchen Programmen genau wird nicht spezifiziert und dass dazu die Interaktion eines/r UserIn notwendig ist, geht nur aus einem Link zum CVSS Calculator hervor.
Laut Microsoft ist allerdings ohnehin nichts zu tun, NutzerInnen erhalten die Updates automatisch oder können sie in dringenden Fällen über den Microsoft Store sofort installieren. Wir konnten aber leider nicht herausfinden, was genau die betroffene Library eigentlich eigentlich tut; ein Programm mit diesem Namen wird jedenfalls im Microsoft Store nicht angeboten. Außerdem ist uns nicht bekannt, wie überprüft werden kann, welche Version der Library aktuell installiert ist. Dementsprechend raten wir in sicherheitskritischen Umgebungen dazu, alle verfügbaren Updates für Apps im Microsoft Store manuell anzustoßen.
Hinweise, die unsere Unklarheiten auflösen, nehmen wir gerne unter team@cert.at entgegen.
Update: 02. Juli 2020
Wie golem.de berichtet, handelt es sich um die "HEVC-Videoerweiterungen" (siehe Wikipedia) für Windows. Die Geräte von Golem hatten bis zum Zeitpunkt der Veröffentlichung des oben verlinkten Beitrags (2020-07-02-T08:44:00+02:00) kein automatisches Update erhalten, ein manuelles Starten des Prozesses ist also ratsam.
Außerdem betroffen dürften die "HEIF-Bilderweiterungen" sein.