Microsoft heeft twee securitybugs moeten patchen in de Windows Codec Library. Hiervoor gebruikte zij een noodupdate, nog voor iemand gebruik kon maken van deze securitybugs.

Door: Jouri Altorf

De bugs, met de namen CVE-2020-1425 en CVE-2020-1457, treffen Windows 10 en Windows Server 2019.

Aanvallers kunnen de bugs gebruiken aan de hand van een speciaal gemaakte fotobestand. Wanneer deze afbeelding wordt geopend in een applicatie die de ingebouwde Windows Codecs Library gebruikt om multimedia content te draaien, kan de aanvaller eigen code op de Windows computer draaien en vervolgens het apparaat overnemen.

Om de bugs te verwijderen, heeft Microsoft de manier gewijzigd waarop de Windows Codec Library omgaat met objecten in het geheugen. De bugs zijn gevonden door middel van het Zero Day Initiative van Trend Micro, een programma dat de communicatie tussen securityonderzoekers en grote bedrijven regelt. Volgens Microsoft zijn de bugs niet misbruikt.

Gebruikers hoeven geen verdere stappen te ondernemen aangezien de updates automatisch worden aangeboden via de Windows Store, dus niet via Windows Update.

Microsoft brengt vaker patches uit buiten de maandelijkse Patch Tuesday.

 

Lees het volledige artikel hier om te zien welke kwetsbaarheden al eerder waren aangepakt door het bedrijf.