Aktualisierte Advisories zu Remote-Lücken: Windows Server doch nicht betroffen

Microsoft hat Hinweise zu Lücken in der Windows Codecs Library vom vergangenen Dienstag überarbeitet und die potenziell betroffenen Systeme stark eingegrenzt.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Aktualisierte Advisories zu Remote-Lücken: Windows Server doch nicht betroffen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.

In zwei Security Advisories hatte Microsoft am vergangenen Dienstag vor Sicherheitslücken in der Windows-Codecs-Bibliothek gewarnt, die Angreifer unter anderem zur Remote Code Execution (RCE) ausnutzen könnten. CVE-2020-1425 und CVE-2020-1457 beträfen, so schrieb das Unternehmen in der ursprünglichen Fassung der Sicherheitshinweise, sowohl Windows 10 als auch mehrere Server-Versionen.

Mit Korrekturen und Ergänzungen der Texte revidierte Microsoft diese Aussage jetzt teilweise: Windows Server sei ausdrücklich nicht von den Lücken betroffen und benötige somit auch keine Updates. Und auch die in den Advisories aufgeführten Windows-10-Versionen seien nur unter bestimmten Voraussetzungen verwundbar.

In einem aktualisierten "FAQ"-Abschnitt in den Advisories erklärt Redmond nun auch, warum statt der üblichen Update-Kanäle (Windows Update, WSUS etc.) diesmal der Microsoft Store für die automatische Update-Verteilung gewählt wurde.

Die angegebenen Windows 10-Versionen seien nämlich gar nicht in der Default-Konfiguration verwundbar, sondern nur dann, wenn Nutzer zuvor aktiv die optionalen HEVC oder "HEVC from Device Manufacturer" Media Codecs aus dem Microsoft Store installiert hätten. Und optionale Apps und Komponenten wiederum würden ihre Updates typischerweise aus dem Microsoft Store beziehen.

Diese zuvor fehlende Information grenzt die Zahl der verwundbaren Systeme noch einmal stark ein. Ein Leser merkte in diesem Zusammenhang gegenüber der heise-Security-Redaktion an, dass man die betreffenden Media Codecs über den Business-Store theoretisch wohl auch an Server verteilen könne, was in der Praxis aber wohl ein eher unwahrscheinliches Szenario sei. Microsoft jedenfalls erwähnt diese Konstellation in seinen Advisories nicht.

(Bild: portal.msrc.microsoft.com)

Für die tatsächlich betroffenen Windows-10-Nutzer, die die optionalen Codecs nutzen, gelten weiterhin die Informationen aus unserer ursprünglichen Meldung zu den Remote-Lücken sowie jene aus den aktualisierten Advisories:

(ovw)