United States Computer Emergency Readiness Team (US-CERT)は7月1日(米国時間)、「Microsoft Releases Security Updates for Windows 10, Windows Server |CISA」において、MicrosoftがWindowsの複数の脆弱性に対処するため、定例外のセキュリティアップデートをリリースしたと伝えた。

これらの脆弱性はいずれもMicrosoft Windows Codecs Libraryに含まれるもので、悪用されるとリモートからの攻撃によって任意のコードが実行されるなどの危険性があるという。

Microsoft Releases Security Updates for Windows 10, Windows Server

該当する脆弱性の詳細は、Microsoftの以下のページに掲載されている。

CVE-2020-1425 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性

CVE-2020-1457 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性

いずれもMicrosoft Windows Codecs Libraryにおけるメモリ内のオブジェクト処理の不具合に起因するもの。Windows Codecs Libraryを使用するプログラムが、悪意をもって特別に細工された画像ファイルを読み込むことで、任意のコードの実行を可能にしてしまう。その結果、リモートから悪意のあるコードを実行されたり、デバイスの乗っ取りが行われたりする危険性がある。

この脆弱性が含まれるとされるWindowsのバージョンは次のとおり。

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for x64-based Systems

Microsoftの当初の発表ではWindows Serverも対象に含まれていたが、現在はリストから除外されている。対象のセキュリティアップデートはMicrosoft Storeを通じて自動的に配信される。Windows Update経由ではないので注意が必要。すぐに更新情報を受け取りたい場合は、Microsoft Storeアプリより確認できる。今回発見された脆弱性の深刻度は1つが緊急(Critical)、もう1つが重要(Important)に分類されているので、注意が必要。