[English]Microsoft hat zum 30. Juni 2020 in einem Notfall-Update die Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library gepatcht. Das betrifft Windows 10 und die Windows Server Pendants, wobei das Update der Bibliotheken über den Store ausgerollt wird.
Anzeige
Sicherheitsinformation durch Microsoft
Ich habe die Informationen über die außerplanmäßigen Sicherheitsupdates von Microsoft per Mail bekommen. Dort schreibt man:
***********************************************************************
Title: Microsoft Security Update Releases
Issued: June 30, 2020
***********************************************************************
Summary
The following CVEs have undergone a major revision increment:
* CVE-2020-1425
* CVE-2020-1457
Revision Information:
=====================
Anzeige
* CVE-2020-1425
– CVE-2020-1425 | Microsoft Windows Codecs Library Remote Code Execution
Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: June 30, 2020
– Updated: N/A
– Aggregate CVE Severity Rating: Critical
* CVE-2020-1457
– CVE-2020-1457 | Microsoft Windows Codecs Library Remote Code Execution
Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: June 30, 2020
– Updated: N/A
– Aggregate CVE Severity Rating: Important
Bei beiden CVEs handelt es sich um Remote Code Execution (RCE) Schwachstellen, die als kritisch angesehen wurden.
CVE-2020-1425-Windows Codecs Library RCE-Schwachstelle
Bei CVE-2020-1425 handelt es sich um eine Remote Code Execution (RCE) Schwachstelle in der Microsoft Windows Codecs Library. Die RCE-Schwachstelle ist in der Art und Weise begründet, wie die Microsoft Windows-Codecs-Bibliothek mit Objekten im Speicher umgeht. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Informationen erhalten, um das System des Benutzers weiter zu kompromittieren.
Die Ausnutzung der Schwachstelle erfordert, dass ein Programm eine speziell gestaltete Bilddatei verarbeitet. Ein verfügbares Update behebt die Sicherheitslücke in der Microsoft Windows-Codecs-Bibliothek. Es stehen Updates von Windows 10 Version 1709 bis hin zu Windows Server 2019 bereit. Details finden sich unter CVE-2020-1425.
CVE-2020-1457-Windows Codecs Library RCE-Schwachstelle
Bei CVE-2020-1457 handelt es sich ebenfalls um eine Remote Code Execution (RCE) Schwachstelle in der Microsoft Windows Codecs Library. Die RCE-Schwachstelle ist in der Art und Weise begründet, wie die Microsoft Windows-Codecs-Bibliothek mit Objekten im Speicher umgeht. Ein Angreifer, der diese Schwachstelle über eine präparierte Bilddaten erfolgreich ausnutzt, könnte Fremdcode remote ausführen. Ein verfügbares Update behebt die Sicherheitslücke in der Microsoft Windows-Codecs-Bibliothek. Es stehen Updates von Windows 10 Version 1709 bis hin zu Windows Server 2019 bereit. Details finden sich unter CVE-2020-1457.
Auslieferung über den Store
Betroffene Kunden werden vom Microsoft Store automatisch mit den erforderlichen Updates für die Windows Codecs Library aktualisiert. Benutzer müssen keine Maßnahmen ergreifen, um das Update zu erhalten. Alternativ können Kunden, die das Update sofort erhalten möchten, mit der Microsoft Store App nach Updates suchen lassen.
Martin Brinkmann von ghacks.net hat hier einen Screenshot veröffentlicht der die Update-Suche im Store zeigt. Das Problem bei dem ganzen Ansatz: Es gibt keine Information, welche Updates gebraucht werden. Und es ist auch doof, das die Updates über den Store kommen.
Martin Brinkmann schreibt auf gehacks.net, dass er zwei Einträge, HEIF-Bilderweiterungen und HEVC-Videoerweiterungen, gefunden habe. Einen dieser Einträge habe ich bei der Update-Suche im Store gefunden. Ich weiß also auch nicht, ob es passt. Nachträge der Situation finden sich im Beitrag Nachträge zum Notfallpatch in der Windows Codecs Library
Anzeige
Dass dieses Update per Store kommt, ist wirklich doof. Denn z.B. hier ist der Store überall auf mehreren Wegen gesperrt. Das muss per Win-Update/WSUS kommen. Wird dann wohl der kommende Patchday übernächste Woche sein…
Ohne Store sollten die Codecs gar nicht installiert sein. Es sei denn per Sideload, dann müsste das Update ebenfalls per Sideload installierbar sein
Sind vorinstalliert/im Abbild enthalten (zumindest der HEIF) .
Viele Grüße
Seit 1809 nicht mehr, oder in 2004 schon wieder drin?
"HEVC-Videoerweiterungen" muss man extra kaufen, z.Z. 0.99€
"HEIF-Bilderweiterungen" sind standardmäßig enthalten.
["HEVC-Videoerweiterungen" muss man extra kaufen, z.Z. 0.99€]
Nein, es gibt einen Gratislink, siehe hier:
https://www.microsoft.com/de-de/p/hevc-video-extensions-from-device-manufacturer/9n4wgh0z6vhq?activetab=pivot:overviewtab
Danke für den Link.
Mit der normalen "Suche" im Store, ist das nicht zu finden.
Danke. Die "HEVC-Videoerweiterungen" sind bei mir nicht installiert und damit brauche ich mich nicht weiter darum zu kümmern.
Also die im Screenshot gezeigte Version der "HEIF-Bilderweiterungen" 1.0.31572 wurde lt. meinem Store bereits am 24. Juni "geändert". Ich wäre Vorsichtig ob das bereits die gefixte Version ist. Leider gibt es von MS ja (noch) keinerlei vernünftige Infos.
Hier ist die Version 1.0.31572 gestern (01.02.2020) installiert worden.
EDIT: Betroffen ist die Videoerweiterung. Die meisten User sehen jedoch die Bilderweiterung. Nicht verwechseln.
The secure versions are 1.0.31822.0, 1.0.31823.0
Wir haben alle noch die alte Version. Microsoft lässt und unsicher und selbst wenn man manuell auf Update klickt, kommt nicht die gepatchte Version.
Übrigens halte ich es für skandalös, dass man im MS Store (auf der Store-Page der App) weder die aktuellste Versionsnummer noch Patchnotes sehen kann.