מיקרוסופט משחררת עדכון מחוץ לתחום עבור ספריית Windows Codecs וקוד Visual Studio כדי לתקן פגיעויות חמורות

מיקרוסופט פרסמה שני תיקונים מחוץ לתחום עבור ספריית Windows Codecs וקוד Visual Studio כדי לטפל בפגיעויות של ביצוע קוד מרחוק בשתי הפלטפורמות.

הבאג של Windows כלל את ספריית HEVC Windows Codecs ומשפיע על כל גרסאות Windows.

מפורט ב- CVE-2020-17022, מיקרוסופט אומרת שתוקפים יכולים ליצור תמונות זדוניות שכאשר הם מעובדים על ידי אפליקציה הפועלת על גבי Windows, הם יכולים לאפשר לתוקף לבצע קוד במערכת הפעלה Windows שאינה מתוקנת.

רק מי שהתקין את רכיבי Codec המדיה האופציונלית של HEVC או "HEVC מיצרן התקנים" מחנות Microsoft, מושפעים ומיקרוסופט מפיצה את התיקון ישירות דרך חנות Microsoft.

כדי לראות אם התקנת גרסה פגיעה, עבור אל הגדרות, אפליקציות ותכונות ובחר HEVC, אפשרויות מתקדמות. גרסאות קודמות מ 1.0.32762.0, 1.0.32763.0 אינן בטוחות.

הפגיעות האחרת משפיעה קוד Visual Studio.

במעקב תחת CVE-2020-17023, מיקרוסופט אומרת שתוקפים יכולים ליצור קבצי package.json זדוניים, שכאשר הם נטענים בקוד Visual Studio, הם יכולים לבצע קוד זדוני. אם משתמשים פועלים כמנהלי מערכת, הקוד יבוצע עם הרשאות אלה.

גרסה מעודכנת של קוד Visual Studio זמינה ומיקרוסופט ממליצה לעדכן בהקדם האפשרי.

באמצעות ZDNet