通过罕见渠道提供的对关键Windows缺陷的计划外修复

2020-07-02 03:51:21

Microsoft发布了针对两个关键漏洞的计划外修复程序,这两个漏洞使攻击者能够在运行任何版本的Windows 10的计算机上执行恶意代码。

与绝大多数Windows补丁不同,周二发布的补丁是通过微软商店交付的。操作系统安全修复的正常渠道是Windows Update。这里和这里的咨询说,用户不需要采取任何行动来自动接收和安装修复程序。

“Microsoft商店将自动更新受影响的客户。客户不需要采取任何行动就可以收到更新,“两家咨询公司都说。或者,希望立即接收更新的客户可以使用Microsoft应用商店应用程序检查更新;有关此过程的更多信息,请单击此处。

然而,当我在我的Windows10笔记本电脑上检查微软商店和Windows Update时,我没有看到任何确认补丁已经安装的消息。通常,Windows 10用户可以使用“更新和安全设置”部分中的“Windows Update”选项卡来确保已安装修补程序。咨询中提供的链接没有提供任何清晰的信息。微软代表没有立即回复有关这篇帖子的问题。

这两个漏洞都驻留在管理用于呈现图像或其他多媒体内容的编解码器的Windows代码库中。攻击者可以利用这些缺陷来执行他们选择的代码或获取存储在易受攻击系统上的信息。漏洞可以在专门设计的图像文件中传递,从而损坏计算机内存。据推测,这些图像可能会被发送到目标访问的受危害网站上,或者当目标打开通过电子邮件发送的恶意文件时。周二的建议没有说明是否只有当目标在特定应用程序或任何应用程序中打开格式错误的图像时,攻击才会奏效。

微软将发现并私下报告漏洞的功劳归功于趋势科技零日行动的阿卜杜勒-阿齐兹·哈里里(Abdul-Aziz Hariri)。这两项建议都表明,没有证据表明该缺陷正在野外被积极利用。由于没有明确的方法来验证补丁是否已经安装,Windows10用户目前将不得不相信微软的话,即补丁是自动安装的。如果Microsoft回答我发送的问题,此帖子将会更新。