Microsoft schließt Schwachstelle CVE-2020-17022 in HEVC-Codec-Library (15.10.2020)

[English]Microsoft hat zum 15. Oktober 2020 noch die RCE-Schwachstelle CVE-2020-17022 in der Windows Codecs Library geschlossen. Weil es einige Verwirrung gab (die Schwachstelle trifft nur einige Windows 10-Nutzer mit HVCE-Codec) und der Patch über den Store kommt, ziehe ich das mal in einem separaten  Blog-Beitrag heraus.

Eine Warnung des BSI

Mir ist der Vorgang sowohl hier im Blog über diesen Kommentar als auf Facebook unter die Augen gekommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung herausgegeben, die für Verunsicherung sorgen könnte:

"[Buerger-Cert-Warnmeldung] TW-T20-0179 – Microsoft Windows 10: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Benutzerrechten

Art der Meldung: Sicherheitshinweis
Risikostufe 3
Microsoft Windows 10: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit
Benutzerrechten

16.10.2020____________________________________________________________________________________________________
Betroffene Systeme:
Microsoft Windows 10
____________________________________________________________________________________________________
Empfehlung:
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.

Das BSI hat noch den Sicherheitshinweis CVE-2020-17022 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability vom 15. Oktober verlinkt. In diesen Kommentar merkt der Betreffende an, dass er keine Informationen auf der Microsoft-Seite vorfindet – und ein Update über Windows Update gibt es auch nicht.

Das steckt hinter CVE-2020-17022

Bei CVE-2020-17022 handelt es sich um eine Remote Code Execution (RCE) Schwachstelle in einer in Windows 10 verwendeten Microsoft Windows Codecs Library. Problem ist die Verwaltung von Objekten im Speicher durch die Microsoft Windows Codecs Library, die zur Ausführung von Code ausgenutzt werden kann. Ein Angreifer braucht dem Opfer nur eine speziell gestaltete Bilddatei (z.B. per Mail oder über eine Webseite) zu schicken, um die Schwachstelle auszunutzen. Dann kann er beliebigen Code ausführen.

Es kommt nichts per Windows Update

Die Schwachstelle wird wegen der Remote Code-Ausführung mit einer hohen Risikostufe geführt. Microsoft hat auch entsprechende Sicherheitsupdates für Windows 10 veröffentlicht. Das BSI empfiehlt zu patchen – aber die Microsoft Sicherheitsseite CVE-2020-17022 enthält keinerlei Links, über die man ein Update herunterladen könnte. Auch über Windows Update kommt nichts.

Nur für bestimmte Nutzer relevant

Kommen wir zum aber – denn das Thema bzw. das Update ist nur für Windows 10-Nutzer relevant, die sich den optionalen Medien-Codecs HEVC oder "HEVC vom Gerätehersteller" aus dem Microsoft Store installiert haben. Betroffene Nutzer sind möglicherweise gefährdet, bekommen aber das Update automatisch über den Microsoft Store. Nutzer müssen keine Maßnahmen ergreifen, um das Update zu erhalten. Wer sicher sein will, dass er das Update erhalten hat, kann alternativ mit der Microsoft Store App nach Updates suchen.

Vielleicht hilft das dem einen oder anderen Benutzer weiter – bei mir hat es beim Lesen des obigen Kommentars sofort geklingelt, weil ich Donnerstag bereits den Hinweis von Woody Leonhard gelesen hatte.

Ergänzung: Das Thema unsicherer HEVC Medien-Codec hatten wir samt Diskussion schon im Juli 2020 (siehe Nachträge zum Notfallpatch in der Windows Codecs Library). Damals hatte Microsoft zum 30. Juni 2020 Notfall-Updates für Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library ausgerollt. Es gab zahlreiche Ungereimtheiten – war mich entfallen.