Microsoft brengt out-of-band update uit voor de Windows Codecs-bibliotheek en Visual Studio Code om ernstige kwetsbaarheden te verhelpen

Microsoft heeft twee out-of-band fixes uitgebracht voor de Windows Codecs-bibliotheek en Visual Studio Code om kwetsbaarheden in de uitvoering van externe code op beide platforms aan te pakken.

De Windows-bug betrof de HEVC Windows Codecs-bibliotheek en heeft gevolgen voor alle versies van Windows.

Gedetailleerd in CVE-2020-17022, zegt Microsoft dat aanvallers kwaadaardige afbeeldingen kunnen maken die, wanneer ze worden verwerkt door een app die bovenop Windows wordt uitgevoerd, de aanvaller in staat kunnen stellen code uit te voeren op een niet-gepatcht Windows-besturingssysteem.

Alleen degenen die de optionele HEVC of "HEVC from Device Manufacturer" mediacodecs van de Microsoft Store hebben geïnstalleerd, worden getroffen en Microsoft distribueert de patch rechtstreeks via de Microsoft Store.

Ga naar Instellingen, Apps en functies en selecteer HEVC, Geavanceerde opties om te zien of je een kwetsbare versie hebt geïnstalleerd. Versies ouder dan 1.0.32762.0, 1.0.32763.0 zijn onveilig.

De andere kwetsbaarheid treft Visual Studio-code.

Bijgehouden onder CVE-2020-17023, zegt Microsoft dat aanvallers schadelijke package.json-bestanden kunnen maken die, wanneer ze in Visual Studio Code worden geladen, schadelijke code kunnen uitvoeren. Als gebruikers als beheerders werken, wordt de code met die rechten uitgevoerd.

Er is een bijgewerkte versie van Visual Studio Code beschikbaar en Microsoft raadt aan deze zo snel mogelijk bij te werken.

via ZDNet