Microsoftは6月30日(現地時間)、Windows 10とWindows Serverの「Microsoft Windows Codecs Library」に2件の脆弱性(CVE-2020-1425、CVE-2020-1457)が存在することを明らかにしました。
「Microsoft Windows Codecs Library」のオブジェクト処理方法に問題が存在しており、特別に細工された画像ファイルを読み込むとリモートでコードが実行されるなどのおそれがあるとの事。なお、現時点で悪用の事実はないようです。
脆弱性の深刻度は「CVE-2020-1425」が“Critical”、「CVE-2020-1457」が“Important”となっています。
すでに緊急パッチはリリースされており、今回は「Microsoft Store」経由で自動的にアップデートが行われるため、ユーザー側で特別な対処は不要なようです。もしも気になるようなら、手動で更新をチェックしておくと良いでしょう。
CVE-2020-1425 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性の概要
Microsoft Windows Codecs Library がメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、ユーザーのコンピューターをさらに侵害する情報を取得する可能性があります。
この脆弱性が悪用されるには、特別に細工された画像ファイルをプログラムが処理する必要があります。
この更新プログラムは、Microsoft Windows Codecs Library がメモリ内のオブジェクトを処理する方法を修正することにより、この脆弱性を解決します。
CVE-2020-1457 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
Microsoft Windows Codecs Library がメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、任意のコードを実行できる可能性があります。
この脆弱性が悪用されるには、特別に細工された画像ファイルをプログラムが処理する必要があります。
この更新プログラムは、Microsoft Windows Codecs Library がメモリ内のオブジェクトを処理する方法を修正することにより、この脆弱性を解決します。
脆弱性の影響を受けるバージョン
今回の脆弱性の影響を受けるWindows 10, Serverは以下の通りです。
- Windows 10 Version 1709 for 32-bit Systems
- Windows 10 Version 1709 for ARM64-based Systems
- Windows 10 Version 1709 for x64-based Systems
- Windows 10 Version 1803 for 32-bit Systems
- Windows 10 Version 1803 for ARM64-based Systems
- Windows 10 Version 1803 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 2004 for 32-bit Systems
- Windows 10 Version 2004 for ARM64-based Systems
- Windows 10 Version 2004 for x64-based Systems
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1709 (Server Core Installation)
- Windows Server, version 1803 (Server Core Installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
参考サイト:JPCERT
脆弱性への対処方法
今回の脆弱性への対応は、基本的には不要。自動的に「Microsoft Store」を介してアップデートが適用されます。「Windows Update」経由ではない点にはご注意を。
もしも手動で更新したい場合は、以下の手順で作業を行ってください。
まずは「スタートメニュー」などから「Microsoft Store」アプリを起動します。起動したら右上の【…】をクリックし、続いて【ダウンロードと更新】をクリックします。
続いて【最新情報を取得する】をクリック。
以上で最新のアプリ更新情報などが取得され、自動的に更新作業も始まります。今回は【HEIF 画像拡張機能】に不具合があったのではないかとの噂もありますが、詳細は不明です。
なお本件とは関係ありませんが、【Windows 電卓】アプリに大幅なアップデートが入り、「グラフ作成」モードが新たに搭載されました。左上の【≡】をクリックすれば選択可能。他にも「関数電卓」や「日付の計算」モードなどもあるので、ぜひ皆さん利用してみてくださいね。地味に改良が続いていてありがたいことです。
※利用には「Windows 10 May 2020 Update(バージョン 2004)」以降が必須
コメント
Microsoft Store経由でアップデート、やってみました。6つありました。終了しました。けっこう時間がかかりました。Microsoft Storeのアップデートは、初めて知りました。これからも見てみて、アップデートが あったら、やったほうがいいですね。
お疲れさまでした!
通常はバックグラウンドで自動的に更新されるので自分もあまり気にしてはいないのですが、たまには手動でアップデートを確認するのも良いかもしれませんね。
Microsoftの純正アプリが地味に進化しているので、色々試してみるのもおすすめです!