Microsoft wydaje pozapasmową aktualizację biblioteki Windows Codecs i Visual Studio Code w celu naprawienia poważnych luk

Firma Microsoft wydała dwie pozapasmowe poprawki dla biblioteki Windows Codecs i Visual Studio Code, aby usunąć luki w zabezpieczeniach zdalnego wykonywania kodu na obu platformach.

Błąd systemu Windows dotyczył Biblioteka kodeków HEVC Windows i dotyczy wszystkich wersji systemu Windows.

Szczegółowo w CVE-2020-17022 Microsoft twierdzi, że atakujący mogą tworzyć złośliwe obrazy, które po przetworzeniu przez aplikację działającą w systemie Windows mogą umożliwić atakującemu wykonanie kodu w niezałatanym systemie operacyjnym Windows.

Problem dotyczy tylko tych, którzy zainstalowali opcjonalne kodeki multimedialne HEVC lub „HEVC od producenta urządzenia” z Microsoft Store, a firma Microsoft rozprowadza poprawkę bezpośrednio przez Microsoft Store.

Aby sprawdzić, czy masz zainstalowaną wersję zawierającą lukę, przejdź do Ustawień, Aplikacji i funkcji i wybierz HEVC, Opcje zaawansowane. Wersje wcześniejsze niż 1.0.32762.0, 1.0.32763.0 są niezabezpieczone.

Druga luka dotyczy Kod programu Visual Studio.

Śledzone pod numerem CVE-2020-17023 firma Microsoft twierdzi, że osoby atakujące mogą tworzyć złośliwe pliki package.json, które po załadowaniu do programu Visual Studio Code mogą wykonywać złośliwy kod. Jeśli użytkownicy działają jako administratorzy, kod zostanie wykonany z tymi uprawnieniami.

Dostępna jest zaktualizowana wersja Visual Studio Code i firma Microsoft zaleca jak najszybsze zaktualizowanie.

przez ZDNet