Microsoft publie une mise à jour hors bande pour la bibliothèque de codecs Windows et Visual Studio Code afin de corriger de graves vulnérabilités

Microsoft a publié deux correctifs hors bande pour la bibliothèque de codecs Windows et Visual Studio Code afin de résoudre les vulnérabilités d'exécution de code à distance sur les deux plates-formes.

Le bogue Windows impliquait le Bibliothèque de codecs Windows HEVC et affecte toutes les versions de Windows.

Détaillé dans CVE-2020-17022, Microsoft affirme que les attaquants peuvent créer des images malveillantes qui, lorsqu'elles sont traitées par une application exécutée sur Windows, peuvent permettre à l'attaquant d'exécuter du code sur un système d'exploitation Windows non corrigé.

Seuls ceux qui ont installé les codecs multimédias HEVC ou «HEVC du fabricant du périphérique» en option à partir du Microsoft Store sont concernés et Microsoft distribue le correctif directement via le Microsoft Store.

Pour voir si une version vulnérable est installée, accédez à Paramètres, Applications et fonctionnalités, puis sélectionnez HEVC, Options avancées. Les versions antérieures à 1.0.32762.0, 1.0.32763.0 ne sont pas sécurisées.

L'autre vulnérabilité affecte Code Visual Studio.

Suivi sous CVE-2020-17023, Microsoft affirme que les attaquants peuvent créer des fichiers package.json malveillants qui, lorsqu'ils sont chargés dans Visual Studio Code, peuvent exécuter du code malveillant. Si les utilisateurs s'exécutent en tant qu'administrateurs, le code sera exécuté avec ces privilèges.

Une version mise à jour de Visual Studio Code est disponible et Microsoft recommande la mise à jour dès que possible.

via ZDNet