漏洞预警|微软Codecs存在远程代码执行漏洞;Firefox 发布远程代码执行漏洞的补丁

来源:
2020-07-07
2179


漏洞预警





微软Codecs存在两个紧急的远程代码执行漏洞


漏洞信息

微软在6月30日发布了关于Windows Codecs的2个紧急安全漏洞,编/解码器(Codecs)是编码器/解码器(encoder-decoder)的缩写,它是专门用于接收某种数据(尤其是代表视频中的像素或音频文件中的像素的原始数据)并进行重新加工的那种软件的术语,它可以轻松发送和接收。Codecs的组成部分会像原始图像一样,由彩色像素的行和列组成,并将其包装为JPG或PNG等格式,以便可以将其保存到文件中以进行下载或传输。-dec部分在另一端做相反的操作,读取文件,然后将其解压缩(大多数图像和视频都经过压缩以进行传输,因为这样可以节省大量带宽),然后将其恢复为原始格式,以便可以显示。


影响版本

漏洞影响Windows 10和Windows server,具体受影响的版本包括:

Windows 10 v 1709

Windows 10 v 1803

Windows 10 v 1809

Windows 10 v 1903

Windows 10 v 1909

Windows 10 v 2004

Windows Server 2019

Windows Server v 1803

Windows Server v 1903

Windows Server v 1909

Windows Server v 2004


漏洞分析

在Windows Codecs Library中存在两个远程代码执行漏洞CVE-2020-1425和CVE-2020-1457。攻击者利用这两个漏洞可以执行任意代码和控制已经被黑的windows 服务器。任何编解码器的-dec部分(例如,转换作为网页一部分下载的JPG文件以便您的浏览器可以显示它们的软件)都不能盲目地假设这个过程是值得信赖的。解码器通常对原始编码过程没有任何控制权,因为从外部接收的文件将完全由其他人使用自己选择的编码软件进行编码,因此解码器必须假设,攻击者可能已恶意构造了编码数据的任何部分,以触发解码器中的错误,这通常是一个复杂的软件。例如,许多图像格式首先要告诉解码器图像的宽度和高度,以及用于存储每个像素的字节数,以帮助解码器在解压缩后为图像分配合适的内存量。但是,如果存储在图像中的数据与随后的数据不匹配,并且解码器最终读取的像素数据超出了为其分配的空间,该怎么办?如果发生这种情况,并且解码器未检测到不匹配,则说明缓冲区溢出以及通常带来的所有安全问题。实际上,实际问题比这个简单的示例严重得多,因为存在数百种用于图像和音频数据的编码算法,以及数百种用于将编码数据打包到文件中进行传输的不同标准。并且用户期望他们的所有软件,从文字处理器到视频编辑器,都将尽可能支持这些组合。这就是Windows Codecs库的来源,它为多种不同的照片和视频文件格式提供了内置支持,从而使软件开发人员可以轻松地支持其用户期望的所有文件格式。编解码器库中的关键错误最终可能同时影响整个软件程序,包括浏览器,文档查看器,视频编辑器,图像画廊工具等等。



CVE-2020-1425:Microsoft Windows Codecs库处理内存中的对象的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得信息,以进一步危害用户的系统。利用此漏洞需要程序处理经特殊设计的图像文件。此更新通过更正Microsoft Windows Codecs库如何处理内存中的对象来解决漏洞。

CVE-2020-1457:Microsoft Windows Codecs库处理内存中的对象的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以执行任意代码。利用此漏洞需要程序处理经特殊设计的图像文件。此更新通过更正Microsoft Windows Codecs库如何处理内存中的对象来解决漏洞。远程代码执行错误通常不再单独使用,因为由于称为地址空间布局随机化(ASLR)的安全过程,攻击者无法弄清将攻击代码放置在内存中的哪个位置。ASLR使每台计算机上的内存布局都不同,因此大多数无助的攻击都必须猜测内存中的何处插入,通常会选择错误的位置,然后崩溃而不是接管。但是在这种情况下,我们猜测攻击者可能会通过使用第一个漏洞获取的操作系统数据(包括当前的内存布局)来开始,从而使ASLR无法使用,并使第二个漏洞更容易利用。


Firefox 发布2个紧急远程代码执行漏洞的补丁


漏洞信息

Mozilla修补了两个Firefox浏览器的紧急漏洞,这些漏洞正在被积极利用。根据Mozilla基金会周五发布的安全公告,这些漏洞都是免费使用的漏洞。


漏洞分析

Firefox > 74.0.1

Firefox Extended Support Release > 68.6.1 


漏洞分析

Firefox Extended Support Release > 68.6.1这两个漏洞(CVE-2020-6819和CVE-2020-6820)均属于严重等级,可让远程攻击者在运行74.0.1之前版本的Firefox及其对企业友好的Firefox Extended Support Release 68.6.1的计算机上执行任意代码或触发崩溃。这些错误会影响在Windows,macOS和Linux操作系统上运行的Firefox浏览器版本。

跟踪第一个漏洞(CVE-2020-6819),此漏洞是浏览器组件“nsDocShell析构函数”使用后释放导致的漏洞。Firefox nsDocShell是nsI-HttpChannel API的客户端,该浏览器的功能与读取HTTP标头有关。

第二个漏洞跟踪为CVE-2020-6820,也是一个组件被使用后导致的漏洞。在这种情况下,攻击者针对的是Firefox浏览器组件ReadableStream(Streams API的接口)。Mozilla表示,Streams API“负责将您希望通过网络接收的资源分解成小块”。安全研究人员JMP Security的Francisco Alonso和Javier Marcos报告了错误。成功利用其中最严重的漏洞可能允许任意执行代码。修补程序可用于多个版本的Firefox浏览器,包括:适用于Windows 64位的Firefox 74.0.1,适用于Windows 32位的Firefox 74.0.1,适用于macOS的Firefox 74.0.1,适用于Linux 64位和Firefox的Firefox 74.0.1适用于Linux 32位的74.0.1。




本周安全态势分析


本周发生的事件有微软编解-码器Codecs存在两个紧急的远程代码执行漏洞和Firefox发布2个紧急的远程代码执行漏洞的安全更新。

1

微软编码-解码器Codecs存在两个紧急的远程代码执行漏洞,在Windows Codecs Library中存在两个远程代码执行漏洞CVE-2020-1425和CVE-2020-1457。攻击者利用这两个漏洞可以执行任意代码和控制已经被黑的windows 服务器。这两个漏洞都是Microsoft Windows Codecs库处理内存中的对象的方式存在远程代码执行漏洞,ASLR的安全过程无法单独使用这两个远程代码执行漏洞,并且由于ASLR在每台计算机上的布局不同增加了攻击的难度,不过如果使用第一个漏洞来获取操作系统的核心数据,然后再配合使用第二个漏洞将增加攻击成功的风险。

2

Firefox发布2个基金的远程代码执行漏洞补丁,CVE-2020-6819和CVE-2020-6820都是组件在被使用后处理不当导致的远程代码执行漏洞,CVE-2020-6819是nsDocShell析构函数使用后释放导致的漏洞,CVE-2020-6820是ReadableStream使用后导致的漏洞,成功利用其中最严重的漏洞可能允许任意执行代码


相关安全防护建议:

1.确保防病毒软件为最新版本。

2.搜索当前网络环境中是否存在IOC相关特征。

3.在防火墙,IDS,Web网关,路由器或其他基于 外围的设备处所有基于URL和IP和IOC。

4.及时更新应用程序和操作系统的补丁。

     5.警惕电子邮件中的链接。



收藏
点赞
2000