Microsoft rilascia un aggiornamento fuori banda per la libreria dei codec di Windows e Visual Studio Code per correggere gravi vulnerabilità

Icona del tempo di lettura 1 minuto. leggere

Icona del calendario Edizione del Ottobre 16, 2020

pubblicato su Ottobre 16, 2020

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link.

Microsoft ha rilasciato due correzioni fuori banda per la libreria di codec di Windows e il codice di Visual Studio per risolvere le vulnerabilità dell'esecuzione di codice in modalità remota in entrambe le piattaforme.

Il bug di Windows ha coinvolto il Libreria di codec di Windows HEVC e influisce su tutte le versioni di Windows.

Dettagliato in CVE-2020-17022, Microsoft afferma che gli aggressori possono creare immagini dannose che, se elaborate da un'app in esecuzione su Windows, possono consentire all'attaccante di eseguire codice su un sistema operativo Windows senza patch.

Solo coloro che hanno installato i codec multimediali HEVC o "HEVC da produttore di dispositivi" opzionali da Microsoft Store sono interessati e Microsoft distribuisce la patch direttamente tramite Microsoft Store.

Per vedere se è installata una versione vulnerabile, vai su Impostazioni, App e funzionalità e seleziona HEVC, Opzioni avanzate. Le versioni precedenti alla 1.0.32762.0, 1.0.32763.0 non sono sicure.

L'altra vulnerabilità colpisce Codice di Visual Studio.

Monitorato in CVE-2020-17023, Microsoft afferma che gli aggressori possono creare file package.json dannosi che, se caricati in Visual Studio Code, possono eseguire codice dannoso. Se gli utenti sono in esecuzione come amministratori, il codice verrà eseguito con questi privilegi.

È disponibile una versione aggiornata di Visual Studio Code e Microsoft consiglia di eseguire l'aggiornamento il prima possibile.

via ZDNet

Maggiori informazioni sugli argomenti: problemi di