Microsoft heeft twee bugs gepatcht in de Windows Codec Library met een noodupdate.
Volgens Microsoft heeft niemand gebruikgemaakt van de bugs.
De bugs, met de namen CVE-2020-1425 en CVE-2020-1457, treffen Windows 10 en Windows Server 2019.
Aanvallers kunnen de bugs gebruiken aan de hand van een speciaal gemaakte fotobestand. Wanneer deze afbeelding wordt geopend in een applicatie die de ingebouwde Windows Codecs Library gebruikt om multimedia content te draaien, kan de aanvaller eigen code op de Windows computer draaien en vervolgens het apparaat overnemen.
Om de bugs te verwijderen, heeft Microsoft de manier gewijzigd waarop de Windows Codec Library omgaat met objecten in het geheugen. De bugs zijn gevonden door middel van het Zero Day Initiative van Trend Micro, een antovirus programma dat de communicatie tussen beveiligingsonderzoekers en grote bedrijven regelt. Volgens Microsoft zijn de bugs niet misbruikt.
Gebruikers hoeven geen verdere stappen te ondernemen aangezien de updates automatisch worden aangeboden via de Windows Store, dus niet via Windows Update.