Microsoft hat außer der Reihe Sicherheitsupdates für mehrere Windows 10- und Windows Server-Versionen veröffentlicht, die zwei als kritisch eingestufte Sicherheitslücken aus der Windows Codecs Library beseitigen. Angreifer könnten die Lücken missbrauchen, um aus der Ferne beliebigen Code auszuführen (Remote Code Execution, RCE) oder um Informationen abzugreifen, die weitergehenden Zugriff auf kompromittierte Systeme ermöglichen.

Die Updates in Gestalt aktualisierter Windows Media Codecs werden automatisch über den Microsoft Store an verwundbare Systeme verteilt. Laut Microsoft müssen Nutzer im Normalfall keinerlei Aktion ausführen. Sofern automatische Updates für die betreffenden Systeme zuvor unterbunden wurden, muss allerdings manuell nachgeholfen werden.

Microsoft hat zwei Security Advisories veröffentlicht, die die jeweils verwundbaren Windows-Versionen und ein paar Details zu den RCE-Sicherheitslücken nennen. Demnach basieren CVE-2020-1425 und CVE-2020-1457 auf der Art und Weise, wie die Windows Codecs-Bibliothek mit Objekten im Speicher umgeht. Um die Lücken auszunutzen, müsste ein potenzieller Angreifer ein Programm auf dem verwundbaren System zur Ausführung einer speziell präparierten Bilddatei bewegen.