Microsoft frigiver out-of-band-opdatering til Windows Codecs-bibliotek og Visual Studio Code for at rette alvorlige sårbarheder

Ikon for læsetid 1 min. Læs

Kalenderikon Udgivet den Oktober 16, 2020

offentliggjort den Oktober 16, 2020

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links.

Microsoft har udgivet to out-of-band-rettelser til Windows Codecs-biblioteket og Visual Studio Code for at løse Remote Code Execution-sårbarheder på begge platforme.

Windows-fejlen involverede HEVC Windows Codecs bibliotek og påvirker alle versioner af Windows.

Detaljeret i CVE-2020-17022 siger Microsoft, at angribere kan lave ondsindede billeder, der, når de behandles af en app, der kører oven på Windows, kan tillade angriberen at udføre kode på et Windows-operativsystem, der ikke er patched.

Kun dem, der installerede valgfri HEVC- eller “HEVC fra enhedsproducent” -mediekodecs fra Microsoft Store, påvirkes, og Microsoft distribuerer programrettelsen direkte via Microsoft Store.

For at se, om du har en sårbar version installeret, skal du gå til Indstillinger, Apps og funktioner og vælge HEVC, Avancerede indstillinger. Versioner tidligere end 1.0.32762.0, 1.0.32763.0 er usikre.

Den anden sårbarhed påvirker Visual Studio-kode.

Sporet under CVE-2020-17023 siger Microsoft, at angribere kan skabe ondsindede package.json-filer, der, når de indlæses i Visual Studio Code, kan udføre ondsindet kode. Hvis brugere kører som administratorer, udføres koden med disse rettigheder.

En opdateret version af Visual Studio Code er tilgængelig, og Microsoft anbefaler at opdatere så hurtigt som muligt.

via ZDNet

Mere om emnerne: sikkerhed