Vừa qua, Microsoft tung ra một bản cập nhật bảo mật để sửa hai lỗ hổng đang tồn tại trong Windows Codecs Library. Các bản cập nhật này được cung cấp cho người dùng thông qua cửa hàng ứng dụng Microsoft Store, và hỗ trợ tất cả phiên bản Windows 10 và Windows Server đã bị ảnh hưởng.
Hai lỗ hổng được theo dõi trong CVE-2020-1456 và CVE-2020-1425 là những lỗi tồn tại trong Windows Codecs Library, và chúng xử lý các đối tượng trong bộ nhớ hệ thống. Khi bị khai thác, những lỗ hổng này cho phép kẻ tấn công có thể thực thi mã tùy ý hoặc lấy thêm thông tin từ máy nạn nhân, gọi là “execute arbitrary cod”. Cả hai lỗ hổng bảo mật đều có thể bị khai thác xâm nhập khi một tệp tin hình ảnh đặc biệt được xử lý bởi thiết bị của người dùng, sau đó cho phép kẻ tấn công giành quyền kiểm soát thiết bị và thực hiện các hành động tấn công nạn nhân.
Hiện tại, không có cách giải quyết hoặc giảm thiểu cho các lỗ hổng này. Rất may là các lỗ hổng không được tiết lộ công khai và vẫn chưa có khai thác nào xảy ra. Trend Micro’s Zero Day Initiative cũng từ chối tiết lộ các thông tin về lỗ hổng.
Và lưu ý rằng lỗ hổng bảo mật này sẽ được cung cấp bản vá thông qua cửa hàng Windows Store chứ không phải Windows Update. Microsoft đã thông báo người dùng không cần thực hiện bất cứ thao tác gì để nhận được chúng, mọi thứ sẽ được hoàn toàn tự động.