微软发布了针对两个漏洞的计划外修复，其中一个漏洞的严重性评级为critical，这使得攻击者有可能在运行任何版本Windows 10的电脑上执行恶意代码。

 

与大多数Windows补丁不同，周二发布的补丁是通过微软商店发布的。操作系统安全修复程序的正常通道是Windows Update。这里和这里的警告说，用户不需要采取任何行动来自动接收和安装补丁。

 

受影响的客户将被微软商店自动更新。用户不需要采取任何行动就能收到更新。”或者，想要立即收到更新的客户可以查看微软商店应用程序的更新;更多关于这个过程的信息可以在这里找到。”

 

然而，当我检查Windows 10笔记本电脑上的微软商店和Windows更新时，我没有看到已安装补丁的确认信息。通常，沐鸣开户测速Windows 10用户可以使用Update和Security settings部分中的Windows Update选项卡来确保安装了补丁。报告中提供的链接没有提供清晰的说明。微软的代表没有立即回应要求澄清的问题。

 

在这篇文章发布后收到的一条消息中，发现漏洞的人，趋势科技零日行动的Abdul-Aziz Hariri证实了Ars读者在评论中提出的理论。他们假设该更新涉及HEVC编解码器，该编解码器用于可从微软商店获得的Windows扩展。

 

急需的清晰

 

受影响的库是hevcdecoder_store。研究人员写道。该库负责用HEVC编解码器解析HEIC图像。该库(扩展)可通过Windows商店获得。因为它是从Windows商店下载的媒体编解码器，沐鸣开户测速我猜微软是通过Windows商店而不是Windows Update更新的。”

 

另外，自从这篇文章上线后，我通过打开微软商店手动安装了更新，点击右上角的三个点，选择下载和更新，然后按右上角蓝色的Get updates按钮。我的微软商店设置被设置为自动接收应用程序更新，所以不清楚为什么微软的建议说用户不需要采取任何行动来接收更新。

 

一名微软代表在报告发表后发送的电子邮件中说，沐鸣开户测速该公司发布了额外的指导意见。它说:“6月30日发布了一次安全更新。应用更新或通过微软商店启用自动更新的客户将受到保护。我们继续鼓励客户开启自动更新，以确保他们得到保护。”

 

报告中还添加了一个常见问题，即只有安装了可选HEVC或“设备制造商的HEVC”媒体编解码器的客户的机器存在漏洞。下面是他们最初出现和现在的常见问题。

 

这两个漏洞都存在于管理用于呈现图像或其他多媒体内容的编解码器的Windows代码库中。攻击者可以利用这些漏洞来执行他们选择的代码，或者获取存储在易受攻击的系统上的信息。漏洞可以通过特殊设计的图像文件传递，从而破坏计算机内存。据推测，这些图像可能会在目标访问的网站上传递，或者当目标打开通过电子邮件发送的恶意文件时传递。周二的公告并没有说明攻击是否只有在目标打开特定应用程序或任何应用程序中的畸形图像时才有效。

 

微软对趋势科技的“零日行动”的阿卜杜勒-阿齐兹·哈里里(Abdul-Aziz Hariri)的发现和私下报告表示感谢。这两份报告都表明，没有证据表明该缺陷在野外被积极利用。