Хакер #305. Многошаговые SQL-инъекции
Разработчики Microsoft опубликовали внеплановые обновления безопасности для исправления двух серьезных уязвимостей в составе Windows Codecs Library.
Уязвимости были обнаружены специалистом Trend Micro Zero Day Initiative и получили идентификаторы CVE-2020-1425 и CVE-2020-1457. Они представляют угрозу только для Windows 10 ( версий 1709, 1803, 1809, 1903, 1909 и 2004) и Windows Server 2019 (1709, 1903 и 2004).
По шкале оценки уязвимостей CVSSv3 обе проблемы набрали 7,3 балла из 10 возможных, а сама Microsoft классифицирует одну уязвимость как критическую, а другую – как важную.
Компания сообщает, что эти проблемы можно эксплуатировать при помощи специально созданного файла изображения. Если такой файл будет открыт в приложении, которое использует Windows Codecs Library для обработки медиаконтента, атакующий получит возможность собирать данные о системе, а также запустить на целевой машине произвольный код и перехватить контроль над устройством.
Интересно, что патчи для уязвимостей в библиотеке кодеков распространяются через Windows Store, а не посредством Windows Update. Впрочем, для получения патчей пользователям не нужно предпринимать никаких действий, все будет сделано автоматически.