{"id":232999,"date":"2020-07-01T10:57:02","date_gmt":"2020-07-01T08:57:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232999"},"modified":"2022-11-24T17:36:41","modified_gmt":"2022-11-24T16:36:41","slug":"windows-10-kritische-codec-schwachstellen-gepatcht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/07\/01\/windows-10-kritische-codec-schwachstellen-gepatcht\/","title":{"rendered":"Windows 10: Kritische Codec-Schwachstellen gepatcht"},"content":{"rendered":"

[English<\/a>]Microsoft hat zum 30. Juni 2020 in einem Notfall-Update die Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library gepatcht. Das betrifft Windows 10 und die Windows Server Pendants, wobei das Update der Bibliotheken \u00fcber den Store ausgerollt wird.<\/p>\n

<\/p>\n

Sicherheitsinformation durch Microsoft<\/h2>\n

\"\"Ich habe die Informationen \u00fcber die au\u00dferplanm\u00e4\u00dfigen Sicherheitsupdates von Microsoft per Mail bekommen. Dort schreibt man:<\/p>\n

***********************************************************************
\nTitle: Microsoft Security Update Releases
\nIssued: June 30, 2020
\n***********************************************************************
\nSummary
\nThe following CVEs have undergone a major revision increment:<\/p>\n

* CVE-2020-1425
\n* CVE-2020-1457<\/p>\n

Revision Information:
\n=====================<\/p>\n

* CVE-2020-1425<\/p>\n

CVE-2020-1425<\/a> | Microsoft Windows Codecs Library Remote Code Execution
\nVulnerability
\n– Version: 1.0
\n– Reason for Revision: Information published.
\n– Originally posted: June 30, 2020
\n– Updated: N\/A
\n– Aggregate CVE Severity Rating: Critical<\/p>\n

* CVE-2020-1457<\/p>\n

CVE-2020-1457<\/a> | Microsoft Windows Codecs Library Remote Code Execution
\nVulnerability
\n– Version: 1.0
\n– Reason for Revision: Information published.
\n– Originally posted: June 30, 2020
\n– Updated: N\/A
\n– Aggregate CVE Severity Rating: Important<\/p>\n

Bei beiden CVEs handelt es sich um Remote Code Execution (RCE) Schwachstellen, die als kritisch angesehen wurden.<\/p>\n

CVE-2020-1425-Windows Codecs Library RCE-Schwachstelle<\/h3>\n

Bei CVE-2020-1425<\/a> handelt es sich um eine Remote Code Execution (RCE) Schwachstelle in der Microsoft Windows Codecs Library. Die RCE-Schwachstelle ist in der Art und Weise begr\u00fcndet, wie die Microsoft Windows-Codecs-Bibliothek mit Objekten im Speicher umgeht. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, k\u00f6nnte Informationen erhalten, um das System des Benutzers weiter zu kompromittieren.<\/p>\n

Die Ausnutzung der Schwachstelle erfordert, dass ein Programm eine speziell gestaltete Bilddatei verarbeitet. Ein verf\u00fcgbares Update behebt die Sicherheitsl\u00fccke in der Microsoft Windows-Codecs-Bibliothek. Es stehen Updates von Windows 10 Version 1709 bis hin zu Windows Server 2019 bereit. Details finden sich unter CVE-2020-1425<\/a>.<\/p>\n

CVE-2020-1457-Windows Codecs Library RCE-Schwachstelle<\/h3>\n

Bei CVE-2020-1457<\/a> handelt es sich ebenfalls um eine Remote Code Execution (RCE) Schwachstelle in der Microsoft Windows Codecs Library. Die RCE-Schwachstelle ist in der Art und Weise begr\u00fcndet, wie die Microsoft Windows-Codecs-Bibliothek mit Objekten im Speicher umgeht. Ein Angreifer, der diese Schwachstelle \u00fcber eine pr\u00e4parierte Bilddaten erfolgreich ausnutzt, k\u00f6nnte Fremdcode remote ausf\u00fchren. Ein verf\u00fcgbares Update behebt die Sicherheitsl\u00fccke in der Microsoft Windows-Codecs-Bibliothek. Es stehen Updates von Windows 10 Version 1709 bis hin zu Windows Server 2019 bereit. Details finden sich unter CVE-2020-1457<\/a>.<\/p>\n

Auslieferung \u00fcber den Store<\/h2>\n

Betroffene Kunden werden vom Microsoft Store automatisch mit den erforderlichen Updates f\u00fcr die Windows Codecs Library aktualisiert. Benutzer m\u00fcssen keine Ma\u00dfnahmen ergreifen, um das Update zu erhalten. Alternativ k\u00f6nnen Kunden, die das Update sofort erhalten m\u00f6chten, mit der Microsoft Store App nach Updates suchen lassen.<\/p>\n

Martin Brinkmann von ghacks.net hat hier einen Screenshot ver\u00f6ffentlicht der die Update-Suche im Store zeigt. Das Problem bei dem ganzen Ansatz: Es gibt keine Information, welche Updates gebraucht werden. Und es ist auch doof, das die Updates \u00fcber den Store kommen.<\/p>\n

Martin Brinkmann schreibt auf gehacks.net, dass er zwei Eintr\u00e4ge, HEIF-Bilderweiterungen und HEVC-Videoerweiterungen, gefunden habe. Einen dieser Eintr\u00e4ge habe ich bei der Update-Suche im Store gefunden. Ich wei\u00df also auch nicht, ob es passt. Nachtr\u00e4ge der Situation finden sich im Beitrag\u00a0Nachtr\u00e4ge zum Notfallpatch in der Windows Codecs Library<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat zum 30. Juni 2020 in einem Notfall-Update die Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library gepatcht. Das betrifft Windows 10 und die Windows Server Pendants, wobei das Update der Bibliotheken \u00fcber den Store ausgerollt wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185,3694],"tags":[4247,4315,4378,4364],"class_list":["post-232999","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","category-windows-10","tag-sicherheitsluecken","tag-update","tag-windows-10","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232999","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232999"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232999\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232999"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232999"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232999"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}