Microsoft lanza una actualización fuera de banda para la biblioteca de códecs de Windows y Visual Studio Code para corregir vulnerabilidades graves

Microsoft ha lanzado dos correcciones fuera de banda para la biblioteca de códecs de Windows y el código de Visual Studio para abordar las vulnerabilidades de ejecución remota de código en ambas plataformas.

El error de Windows involucró el Biblioteca de códecs de Windows HEVC e impacta todas las versiones de Windows.

Detallado en CVE-2020-17022, Microsoft dice que los atacantes pueden crear imágenes maliciosas que, cuando son procesadas por una aplicación que se ejecuta sobre Windows, pueden permitir que el atacante ejecute código en un sistema operativo Windows sin parches.

Solo aquellos que instalaron los códecs de medios HEVC opcionales o “HEVC del fabricante del dispositivo” de Microsoft Store se ven afectados y Microsoft está distribuyendo el parche directamente a través de Microsoft Store.

Para ver si tiene instalada una versión vulnerable, vaya a Configuración, Aplicaciones y características, y seleccione HEVC, Opciones avanzadas. Las versiones anteriores a 1.0.32762.0, 1.0.32763.0 no son seguras.

La otra vulnerabilidad afecta Código de Visual Studio.

Rastreado bajo CVE-2020-17023, Microsoft dice que los atacantes pueden crear archivos package.json maliciosos que, cuando se cargan en Visual Studio Code, pueden ejecutar código malicioso. Si los usuarios se ejecutan como administradores, el código se ejecutará con esos privilegios.

Hay disponible una versión actualizada de Visual Studio Code y Microsoft recomienda actualizar lo antes posible.

vía ZDNet