In zwei Security Advisories hatte Microsoft am vergangenen Dienstag vor Sicherheitslücken in der Windows-Codecs-Bibliothek gewarnt, die Angreifer unter anderem zur Remote Code Execution (RCE) ausnutzen könnten. CVE-2020-1425 und CVE-2020-1457 beträfen, so schrieb das Unternehmen in der ursprünglichen Fassung der Sicherheitshinweise, sowohl Windows 10 als auch mehrere Server-Versionen.

Mit Korrekturen und Ergänzungen der Texte revidierte Microsoft diese Aussage jetzt teilweise: Windows Server sei ausdrücklich nicht von den Lücken betroffen und benötige somit auch keine Updates. Und auch die in den Advisories aufgeführten Windows-10-Versionen seien nur unter bestimmten Voraussetzungen verwundbar.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Nur Systeme mit optionalen HEVC Codecs verwundbar

In einem aktualisierten "FAQ"-Abschnitt in den Advisories erklärt Redmond nun auch, warum statt der üblichen Update-Kanäle (Windows Update, WSUS etc.) diesmal der Microsoft Store für die automatische Update-Verteilung gewählt wurde.

Die angegebenen Windows 10-Versionen seien nämlich gar nicht in der Default-Konfiguration verwundbar, sondern nur dann, wenn Nutzer zuvor aktiv die optionalen HEVC oder "HEVC from Device Manufacturer" Media Codecs aus dem Microsoft Store installiert hätten. Und optionale Apps und Komponenten wiederum würden ihre Updates typischerweise aus dem Microsoft Store beziehen.

Diese zuvor fehlende Information grenzt die Zahl der verwundbaren Systeme noch einmal stark ein. Ein Leser merkte in diesem Zusammenhang gegenüber der heise-Security-Redaktion an, dass man die betreffenden Media Codecs über den Business-Store theoretisch wohl auch an Server verteilen könne, was in der Praxis aber wohl ein eher unwahrscheinliches Szenario sei. Microsoft jedenfalls erwähnt diese Konstellation in seinen Advisories nicht.

Für die tatsächlich betroffenen Windows-10-Nutzer, die die optionalen Codecs nutzen, gelten weiterhin die Informationen aus unserer ursprünglichen Meldung zu den Remote-Lücken sowie jene aus den aktualisierten Advisories:

(ovw)