时间:2020-07-03 来源:u小马 访问:次
据微软安全响应中心发布的最新安全通报 , 微软向Windows 10提供HEVC编解码器出现2个高危级别的安全漏洞。该漏洞从Windows 10 v1709开始到Windows 10 v2004版均受影响 , 所有用户都需要立即安装更新修复该漏洞。当然虽然是高危漏洞不过用户也不需要太担心,因为不需要等到下周才能修复,实际上微软已经开始推送新版本。只要用户没有手动禁止 Microsoft Store 微软商店的自动更新即可,如果手动禁止自动更新的话需要重新更新下。
更新:微软初次安全公告提到Windows Server 也受影响,但该系统不支持商店所以服务器用户是不需要担心的。
HEVC编解码器远程代码执行漏洞:
HEVC即高效率视频编码规范,发起方是MPEG和VCEG,该标准也被视为是 H.264 和MPEG-4 AVG的继任版本。微软在2014年Windows 10 初始版本还在测试的时候就宣布支持HEVC,随后通过应用商店提供HEVC扩展程序。此次出现高危安全漏洞的就是这个HEVC扩展程序 ,其编码库被发现存在缺陷会导致处理内存对象时会出现错误。若攻击者制作特定的图像并诱导用户加载即可触发该漏洞,触发该漏洞后攻击者可以远程执行任意代码威胁较高。
哪些用户受影响以及怎么修复:
此安全漏洞仅影响Windows 10 v1709~2004 版的x86/x64/ARM64用户,Windows Server用户不受漏洞影响。而且受影响的也仅仅只有安装HEVC扩展程序的用户,如果用户压根没有安装 HEVC 编解码器的话也不受影响的。
是否安装:该扩展程序在部分设备上是自动安装的,用户可以转到设置/应用/应用和功能/搜索/输入 HEVC检索。
具体来说:若用户已安装HEVC视频扩展 或 来自设备制造的HEVC视频扩展 , 则说明受影响需要在商店进行更新。
怎么修复:打开 Microsoft Store 微软商店点击头像旁边菜单选择下载和更新,然后等待系统自动检查更新即可。