Win10 1709~2004版HEVC编解码器出现2个高危安全漏洞

7月3日消息   据微软安全响应中心发布的最新安全通报 , 微软向Windows 10提供HEVC编解码器出现2个高危级别的安全漏洞。该漏洞从Windows 10 v1709开始到Windows 10 v2004版均受影响 , 所有用户都需要立即安装更新修复该漏洞。当然虽然是高危漏洞不过用户也不需要太担心，因为不需要等到下周才能修复，实际上微软已经开始推送新版本。只要用户没有手动禁止 Microsoft Store 微软商店的自动更新即可，如果手动禁止自动更新的话需要重新更新下。

更新：微软初次安全公告提到Windows Server 也受影响，但该系统不支持商店所以服务器用户是不需要担心的。

CVE-2020-1425/CVE-2020-1457

HEVC编解码器远程代码执行漏洞：

HEVC即高效率视频编码规范，发起方是MPEG和VCEG，该标准也被视为是 H.264 和MPEG-4 AVG的继任版本。微软在2014年Windows 10 初始版本还在测试的时候就宣布支持HEVC，随后通过应用商店提供HEVC扩展程序。此次出现高危安全漏洞的就是这个HEVC扩展程序 ，其编码库被发现存在缺陷会导致处理内存对象时会出现错误。若攻击者制作特定的图像并诱导用户加载即可触发该漏洞，触发该漏洞后攻击者可以远程执行任意代码威胁较高。

哪些用户受影响以及怎么修复：

此安全漏洞仅影响Windows 10 v1709~2004 版的x86/x64/ARM64用户，Windows Server用户不受漏洞影响。而且受影响的也仅仅只有安装HEVC扩展程序的用户，如果用户压根没有安装 HEVC 编解码器的话也不受影响的。

是否安装：该扩展程序在部分设备上是自动安装的，用户可以转到设置/应用/应用和功能/搜索/输入 HEVC检索。

具体来说：若用户已安装HEVC视频扩展或来自设备制造的HEVC视频扩展, 则说明受影响需要在商店进行更新。

怎么修复：打开 Microsoft Store 微软商店点击头像旁边菜单选择下载和更新，然后等待系统自动检查更新即可。