A Microsoft négy év után bukkant rá egy kritikus biztonsági problémára
Július elsején két frissen felfedezett biztonsági hibáról adott jelentést a Microsoft, mely az általános Windows 10 verziók mellett a Server kiadásban is megtalálható. Bár mélyreható elemzést nem közöltek, az kiderült, hogy a Microsoft Windows Codecs Library, vagyis a médiafájlok lejátszásához szükséges kodekcsomag a ludas, mely nem megfelelően kezeli a memóriában található objektumokat. A CVE-2020-1425 sebezhetőséggel a sikeres támadáshoz szükséges információkhoz férhetnek hozzá, a CVE-2020-1457 pedig kártékony kódok távoli futtatását-, konkrétabban egy speciális kialakítású képfájlt futtató program alkalmazását teszi lehetővé.
A helyzet több szempontból is szoaktlan, ugyanis a probléma a 1709-es verziószámú őszi frissítés óta minden Windows 10 kiadásban megtalálható, melybe a 32-bites, 64-bites és ARM verziók mellett a Windows Server 2019 és 2004 változatok is beletartoznak. A kritikus besorolású biztonsági rést tehát bő három év után sikerült felfedezni és orvosolni. Ami viszont valóban rendhagyó, hogy a frissen kiadott javítócsomagot nem a Windows frissítéskezelő szolgáltatásán keresztül érhetjük el, ehelyett a Microsoft Áruház (Microsoft Store) telepíti nekünk. Az ígéretek szerint a rendszer automatikusan végrehajtja a frissítést, de ha nem szeretnénk várni, az Áruházon belül a Letöltések és frissítések menüpont alatt kattintsunk a Frissítések beszerzése gombra.
Igencsak furcsán kezeli a helyzetet a Microsoft, ugyanis azt nem közölték, hogy melyik frissítés készült a biztonsági hibák javítására. Egy gyors keresés után, a csomagok listáján felbukkant egy HEIF-képbővítmény (HEIF Image Extensions), és egy HEVC-videobővítmény (HEVC Video Extensions from Device Manufacturer), de az nem világos, hogy a Micrtosoft ezekre hivatkozott-e, esetleg még el sem indították a javítócsomagot. Nehezen érthető ez a hiányos tájékoztatás, mivel így a rendszergazdák sem ellenőrizhetik, hogy a kritikusnak titulált frissítés feltelepült-e az általuk felügyelt eszközökre, de magáról a sebezhetőségről is illene részletesebb tájékoztatást adni, gondolva itt az említett képfájlok típusaira.
Érdemes megemlíteni, hogy a Windows Server rendszereken a Microsoft Áruház nem elérhető, illetve céges szabályozások miatt sokszor nem telepíthető, a Microsoft viszont még nem adott támpontot ahhoz, hogy a céges felhasználók hogyan javíthatják a veszélyesnek jelölt sebezhetőséget. Nekünk pedig arra érdemes figyelnünk, hogy ha a Microsoft Áruházat korábban deaktiváltuk vagy töröltük, ehhez a komponenshez egyelőre máshogy nem férhetünk hozzá.