據(jù)微軟安全響應中心發(fā)布的最新安全通報 , 微軟向Windows 10提供HEVC編解碼器出現(xiàn)2個高危級別的安全漏洞。

該漏洞從Windows 10 v1709開始到Windows 10 v2004版均受影響 , 所有用戶都需要立即安裝更新修復該漏洞。

當然雖然是高危漏洞不過用戶也不需要太擔心，因為不需要等到下周才能修復，實際上微軟已經(jīng)開始推送新版本。

只要用戶沒有手動禁止 Microsoft Store 微軟商店的自動更新即可，如果手動禁止自動更新的話需要重新更新下。

更新：微軟初次安全公告提到Windows Server 也受影響，但該系統(tǒng)不支持商店所以服務器用戶是不需要擔心的。

CVE-2020-1425?/?CVE-2020-1457

HEVC編解碼器遠程代碼執(zhí)行漏洞：

HEVC即高效率視頻編碼規(guī)范，發(fā)起方是MPEG和VCEG，該標準也被視為是 H.264 和MPEG-4 AVG的繼任版本。

微軟在2014年Windows 10 初始版本還在測試的時候就宣布支持HEVC，隨后通過應用商店提供HEVC擴展程序。

此次出現(xiàn)高危安全漏洞的就是這個HEVC擴展程序 ，其編碼庫被發(fā)現(xiàn)存在缺陷會導致處理內(nèi)存對象時會出現(xiàn)錯誤。

若攻擊者制作特定的圖像并誘導用戶加載即可觸發(fā)該漏洞，觸發(fā)該漏洞后攻擊者可以遠程執(zhí)行任意代碼威脅較高。

哪些用戶受影響以及怎么修復：

此安全漏洞僅影響Windows 10 v1709~2004 版的x86/x64/ARM64用戶，Windows Server用戶不受漏洞影響。

是否安裝：該擴展程序在部分設備上是自動安裝的，用戶可以轉到設置/應用/應用和功能/搜索/輸入 HEVC檢索。

具體來說：若用戶已安裝HEVC視頻擴展?或?來自設備制造的HEVC視頻擴展?, 則說明受影響需要在商店進行更新。

怎么修復：打開 Microsoft Store 微軟商店點擊頭像旁邊菜單選擇下載和更新，然后等待系統(tǒng)自動檢查更新即可。