Kritische Sicherheitslücken in Windows Codecs Library

Seit 2015 arbeite ich wieder als System Engineer für die Leuchter IT Solutions AG. Bereits von 2008 bis 2013 war ich für Leuchter tätig. Meine Kompetenzen liegen im Bereich Netzwerk und IT Security. In meiner Freizeit bin ich leidenschaftlicher Gleitschirmpilot, bin im Sommer gelegentlich auf dem Motorrad anzutreffen, seltener mal auch in einem Dojo auf der Matte.
Ein Update zur Situation finden Sie weiter unten.
Die zwei Sicherheitslücken, CVE-2020-1425 und CVE-2020-1457, ermöglichen es Angreifern auf aktuellen Windows-Versionen beliebigen Code aus der Ferne auszuführen oder ggf. Informationen aus den betroffenen Systemen auszulesen.
Es handelt sich um Lücken in der Objekte/-Speicherverwaltung der Windows Codecs Library, welche von Windows für die Verarbeitung von Medieninhalten genutzt wird. Dies ist insofern heikel, da sich damit Socialmedia-Inhalte als Köder/Türöffner für Angriffe präparieren lassen. Die Verbreitung kann dann in verschiedenen Formen (Fishing, Socialmediaweb, etc.) erfolgen.
Microsoft gibt zwar die Nutzbarkeit der Lücke mit "less likely" an, stuft sie aber trotzdem als kritisch ein und veröffentlicht Updates ausserhalb des planmässigen Rhythmus.
Die Lücke betrifft nahezu alle aktuellen Windows 10 und Server Builds. Updates werden über die üblichen Mechanismen eingespielt, sofern diese nicht ausser Kraft gesetzt wurden. Advisory mit Downloadlinks sind unter folgenden Adressen zu finden:
Weitere Infos gibt es unter:
-
Heise: Microsoft verteilt wichtige Updates für Remote-Lücken in Windows 10 und Server
-
TheHackerNews: Microsoft Releases Urgent Windows Update to Patch Two Critical Flaws
Update 02.07.2020
Microsoft hat das Advisory stark revidiert und dessen Relevanz damit reduziert.
Die Windows Server-Versionen sind nicht verwundbar, die Windows 10-Versionen nicht in der Default-Konfiguration. Die Vulnerabilities zeigen nur dann Wirkung, wenn Benutzer sich die optionalen HEVC oder "HEVC from Device Manufacturer" (Media Codes zur Interpretation von entsprechenden Inhalten) über den Microsoft Store installiert hätten.
Aus diesem Grund wurden auch Updates über den Store statt über die Mechanismen Windows-/WSUS-Update verteilt.